Guerre di Rete - Assange a rischio estradizione
E poi che ne è di FinFisher. Riconoscimento facciale in Italia. Diritti dei rider.
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.119 - 12 dicembre 2021
→ Questo è l’ultimo numero prima delle vacanze natalizie. Ci rivediamo a gennaio!
Ricordo che questa newsletter (che oggi conta quasi 10mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista donatori)
In questo numero:
- Assange a rischio estradizione
- Fine corsa per FinFisher?
- Nuove norme per i rider
- Come i neonazi hanno sfruttato le nuove regole Twitter
- Riconoscimento facciale in Italia
- E molto altro
ASSANGE
Estradizione più vicina
Julian Assange, il fondatore di Wikileaks, potrebbe essere estradato dall’UK negli Stati Uniti. È infatti stato accolto il ricorso del governo americano contro la precedente decisione della giudice distrettuale, Vanessa Baraitser, di non concedere l'estradizione a causa del rischio concreto di suicidio. La nuova decisione non significa che verrà estradato automaticamente. Il caso tornerà infatti a una corte minore, la Westminster Magistrates' Court, dove un giudice distrettuale dovrebbe inviarlo alla ministra dell’Interno, la conservatrice Priti Patel (BBC). I legali di Assange però “potranno fare appello alla Corte Suprema del Regno Unito” (Valigia Blu). Nei prossimi mesi ci sono dunque ancora alcune strade legali da percorrere, spiega il Guardian. Ma certo ora l’opzione estradizione è sul tavolo e più vicina.
“La sentenza odierna va infatti a legittimare ancora una volta la linea dell’accusa - scrive Philip Di Salvo su Domani (paywall) - quanto pubblicato da WikiLeaks tra il 2010 e il 2011 con la divulgazione dei documenti sulle guerre in Afghanistan, Iraq e con il Cablegate, non è giornalismo nell’interesse pubblico, ma spionaggio e hacking: è questa infatti, la sostanza dei 17 capi di accusa che Assange si vede imputare negli Stati Uniti. Assange potrà essere estradato negli Usa per affrontare un processo e, qualora fosse condannato, potrebbe scontare una pena fino a 175 anni di detenzione. Da anni tutte le più importanti organizzazioni che si occupano di diritti umani e libertà di stampa denunciano, inascoltate, la pericolosità del caso Assange le possibili ricadute profondissime sui diritti dell’imputato e su casi simili futuri, oltre che per il giornalismo nel complesso”.
Su cosa si è deciso
A gennaio la giustizia britannica aveva escluso l’estradizione di Assange sulla base delle sue condizioni di salute e del rischio che una detenzione negli Stati Uniti fosse oppressiva. Per cui nelle udienze di appello il governo americano ha cercato di fornire rassicurazioni al riguardo.
Le rassicurazioni date, e accolte ora dal tribunale, sono le seguenti: che Assange non verrà soggetto a speciali misure restrittive (SAMs) prima e dopo il processo, o non verrà imprigionato in una prigione di massima sicurezza (ADX), “a meno che non faccia qualcosa successivamente all’offerta di queste assicurazioni che ricada nei requisiti per l’imposizione di misure SAM o la designazione a una ADX”.
Il governo Usa avrebbe anche assicurato di fornire il consenso a un trasferimento post condanna in una prigione australiana se richiesto da Assange, quando l’Australia darà il suo consenso (a questo proposito, va detto che l’Australia sul caso ha in questo momento un atteggiamento poco proattivo e sembra semmai tirarsene fuori). Infine gli americani hanno assicurato l’accesso a trattamenti medici o psicologici.
Invano la difesa di Assange ha argomentato che queste offerte sono tardive, condizionate, e lasciano aperta la possibilità che il fondatore di Wikileaks possa essere comunque soggetto a quelle misure. Ma soprattutto che l’estradizione negli Usa sarebbe oppressiva indipendentemente dal rischio di finire in una prigione di massima sicurezza.
(qui trovate la decisione, completa e in breve).
E invano i sostenitori di Assange hanno fatto notare che, come raccontato due mesi fa in una inchiesta di Yahoo News!, il fondatore di Wikileaks fosse nel mirino dell’intelligence statunitense, che aveva formulato un piano per rapirlo o assassinarlo nell’ambasciata dell’Ecuador di Londra. Inchiesta che la difesa di Assange ha fatto acquisire agli atti, ha commentato al Fatto la giornalista Stefania Maurizi, autrice del libro Il potere segreto. Perché vogliono distruggere Julian Assange e WikiLeaks.
Rivelazioni che rendono “una farsa” queste garanzie, scrive l’importante emittente tedesca Deutsche Welle, che chiede agli americani di lasciar cadere le accuse, ricordando come questa vicenda sia osservata attentamente dai regimi autoritari.
Organizzazioni per i diritti umani e la libertà di stampa come ACLU, Amnesty International (disclosure: lavoro per questa organizzazione), Human Rights Watch, Knight First Amendment Institute, Committee to Protect Journalists, e Reporters Without Borders sono schierate a favore di Assange.
Ricordiamo, come scriveva qualche tempo fa Valigia Blu, che “Assange non è accusato di aver rubato informazioni classificate. E sebbene sia incriminato ai sensi del famigerato Espionage Act del 1917, non è accusato di alcuna collusione con una potenza straniera”.
E ancora nulla c’entrano la Russia, o gli attacchi ai democratici del 2016 da parte dell’intelligence di Mosca con conseguenti leaks finiti (anche) su Wikileaks. No.
“I 17 capi di accusa ai sensi dell'Espionage Act derivano dal ruolo di Assange nel 2010-2011 nella pubblicazione di centinaia di migliaia di documenti militari e diplomatici classificati, che sono stati dati a WikiLeaks”, scriveva ancora Valigia Blu. Documenti che hanno prodotto importanti scoop giornalistici. C'è anche una ulteriore accusa di "cospirazione per commettere un'intrusione informatica". Un’accusa, quest’ultima, che non riguarda un crimine informatico realmente avvenuto.
In quanto ai documenti vale la pena ribadire che ne hanno scritto media di tutto il mondo, senza contare le stesse partnership fra Wikileaks e quotidiani come il Guardian o il New York Times. Qui trovate la lista dei media che hanno collaborato con Assange e Wikileaks.
Come scriveva Fabio Chiusi tempo fa “l'accusa, in conclusione, è chiara. Assange sarebbe colpevole di avere "cospirato per ottenere, ricevere e diffondere informazioni sulla sicurezza nazionale", ma l’accusa finisce con l’includere e criminalizzare prassi che “descrivono comuni pratiche giornalistiche oggi come lo facevano allora”.
Nelle mie precedenti newsletter avevo analizzato in dettaglio gli atti d’accusa americani, a partire da questa del giugno 2020; e questa nel 2019.
Vedi anche: Julian Assange, processo al giornalismo - archivio, VIDEO inchiesta di Presadiretta
SPYWARE
La fine di FinFisher… o forse no?
Il produttore tedesco di spyware governativi, FinFisher, ha iniziato le procedure per insolvenza ed è stato nominato un curatore fallimentare. In Spyware Ltd, il mio lungo speciale sugli spyware governativi pubblicato in 3 parti a settembre, FinFisher è uno dei protagonisti, e anzi la storia parte proprio da loro e dall’Egitto. Fino a poco tempo fa al produttore venivano attribuiti clienti in 33 Paesi. La notizia ha dunque sorpreso e colpito alcuni osservatori. Alcuni l’hanno vista come un segnale delle crescenti difficoltà affrontate dalle aziende del settore, che dopo anni di richieste da parte di alcuni ricercatori e attivisti è ora per la prima volta finito sotto lo scrutinio di alcuni governi (basti pensare alla recente decisione del governo americano di mettere nella sua lista nera il produttore israeliano NSO, ma su questo vedi sotto). E non solo governi, anche magistrati. Gli stessi amministratori di FinFisher sono stati indagati di recente in Germania con l’accusa di aver aggirato la legge sull’export attraverso una struttura parallela in Malesia.
Tuttavia secondo alcuni resoconti si tratterebbe solo di una ristrutturazione, con una nuova società pronta a proseguire e chiamata Vilicius Holding GmbH. Avendo raccontato in Spyware Ltd le molte metamorfosi di questa industria, questa interpretazione non mi stupisce affatto.
(Heise; DW; Winfuture)
NSO e il Dipartimento di Stato Usa
Gli iPhone di almeno nove dipendenti del Dipartimento di Stato Usa sono stati violati da sconosciuti aggressori che usavano lo spyware Pegasus, sviluppato dalla società israeliana NSO Group. I dipendenti stavano in Uganda o lavoravano su Paesi dell’Africa orientale (Reuters)
Questa notizia getta ulteriore luce sulla decisione dell’amministrazione Usa di includere NSO nella sua entity list, la lista nera sull’export (di cui avevo scritto qua)
RICONOSCIMENTO FACCIALE
Moratoria sul riconoscimento facciale in Italia
Il Parlamento ha approvato un emendamento del Partito Democratico al decreto Capienze che introduce una moratoria di due anni sui sistemi di riconoscimento facciale: le installazioni di impianti di videosorveglianza con sistemi di riconoscimento facciale in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di privati, «sono sospese fino all’entrata in vigore di una disciplina legislativa della materia e comunque non oltre il 31 dicembre 2023».
“Di fatto, la moratoria ha introdotto una norma più chiara soprattutto per i privati che non possono più installare sistemi di riconoscimento facciale nei negozi, sui cartelli pubblicitari, negli impianti sportivi o sui mezzi di trasporto. I comuni dovranno chiedere il parere del Garante della privacy, che finora ha bocciato tutti i progetti di videosorveglianza con riconoscimento facciale presentati dalle amministrazioni. (...) La moratoria non coinvolge, invece, l’autorità giudiziaria, che non dovrà sottostare a nessun controllo preventivo da parte del Garante”, scrive Il Post.
“«Un passo storico», dice Filippo Sensi (Pd) -al Sole 24 Ore - che sul tema aveva presentato una «proposta di legge, la cui lettera è diventata emendamento Pd al Capienze. «Abbiamo fermato il far west regolatorio che permetteva di accendere un faro sulla privacy di ognuno di noi». «Molti Comuni hanno cercato di installare telecamere intelligenti nei luoghi pubblici, rischio scongiurato con mobilitazioni, campagne e interventi del garante privacy. Ora c'è una norma primaria a vietarlo».
Diversi gruppi di attivisti ed esperti di privacy non sono però apparsi entusiasti. Scrive Wired: “In molti festeggiano perché il testo presuppone una moratoria nell’utilizzo di sistemi di riconoscimento facciale fino al 31 dicembre del 2023, ma al comma 12 c'è scritto che questi sistemi potranno essere usati per motivi di sicurezza che è la principale ragione per cui viene scelto il riconoscimento facciale”, sottolinea Diego Dimalta tra i fondatori di Privacy Network, think-thank che si batte per il diritto alla riservatezza. “La moratoria si riduce così a divieto per privati, che sono un problema ma non il principale in questo ambito”.
In pratica, riassume Wired italia, “il Parlamento ha scelto di impedire per i prossimi due anni l’utilizzo di sistemi di riconoscimento facciale in Italia senza però estendere tale vincolo tout court “alle autorità competenti”, alle quali basterà un parere favorevole del Garante anche per portare avanti il lavoro di “prevenzione” di reati”. Mentre “un inciso del comma 12, infatti, elimina qualsiasi vincolo per la “autorità giudiziaria” che non dovranno nemmeno passare dal giogo del Garante privacy come il resto della pubblica amministrazione”
Leggi anche: Tecnologie per il controllo delle frontiere in Italia. Identificazione, riconoscimento facciale e finanziamenti europei - un’analisi dell’associazione Hermes Center for Transparency and Human Rights.
GIG ECONOMY
Ue, nuove regole a tutela dei rider, dall’inquadramento ai sistemi di monitoraggio
La Commissione europea lancia le nuove regole a tutela dei rider e dei lavoratori delle piattaforme come Uber, Deliveroo e Glovo. “La proposta di direttiva mira innanzitutto a consentire alle persone che lavorano sulla piattaforma di avere il diritto di essere informate sui sistemi in uso di monitoraggio e decisionali automatizzati e su come influenzano le loro condizioni di lavoro. Anche i rappresentanti dei lavoratori e le autorità del lavoro avranno accesso a tali informazioni”, scrive Rainews.
Definizione di dipendenti
“In base alle norme proposte (...) qualsiasi lavoratore il cui lavoro è controllato da una piattaforma digitale può presumere di esserne un dipendente, indipendentemente da come viene definito nel contratto. Starà alle piattaforme digitali, eventualmente, dimostrare che il lavoratore non è un dipendente. Se il rider non corre il rischio di impresa, ad esempio, non può essere più considerato autonomo. Allo stesso modo, se il rider non può scegliere il costo della “corsa”, non può essere più considerato autonomo. Essere assunti come dipendenti, però, non si traduce automaticamente in un contratto a tempo indeterminato. Il contratto potrà essere infatti anche a tempo determinato”, scrive Corriere, aggiungendo che gli Stati membri potrebbero incassare circa 4 miliardi di euro in tasse e contributi previdenziali aggiuntivi ogni anno.
“Per coloro che vengono riclassificati come lavoratori – spiega l’esecutivo comunitario – questo significa il diritto a un salario minimo (dove esiste), la contrattazione collettiva, la protezione dell’orario di lavoro e della salute, il diritto alle ferie pagate o a un migliore accesso alla protezione contro gli infortuni sul lavoro, alle indennità di disoccupazione e di malattia, nonché alle pensioni di vecchiaia contributive”, scrive Qui Finanza.
I criteri
“In particolare - scrive Avvenire - sono stati individuati cinque criteri per definire se un lavoratore è da considerarsi autonomo o dipendente. È sufficiente che siano soddisfatti due criteri per definire il lavoratori un dipendente e la piattaforma un datore di lavoro. I cinque criteri servono a determinare il grado di controllo che ha la piattaforma sul lavoratore e sono: determinazione del livello di remunerazione o di limiti massimi; controllo sull'esecuzione del lavoro con mezzi elettronici; limitazione della libertà di scelta dell'orario di lavoro o dei periodi di assenza, di accettare o rifiutare incarichi o di avvalersi di subappaltatori o sostituti; determinazione di specifiche regole vincolanti in ordine all'aspetto, alla condotta nei confronti del destinatario del servizio o all'esecuzione dell'opera; limitazione della possibilità di creare una base di clienti o di eseguire lavori per terzi”.
Il controllo sugli algoritmi
La Direttiva proposta dalla Commissione - si legge nei documenti ufficiali europei - garantirà alle persone che lavorano attraverso le piattaforme (che si tratti di lavoratori dipendenti o autonomi) una migliore comprensione di come i compiti sono distribuiti e di come sono fissati i prezzi, e di come sono monitorati; controllo umano sulle decisioni automatizzate e su come influenzano le condizioni lavorative; il diritto di contestare decisioni automatizzate e di correggerle quando necessario.
SOCIAL MEDIA E ABUSI
Come una regola di Twitter per proteggere da abusi è stata sfruttata da neo nazi
Come sapete Twitter ha aggiornato la sua policy sulle informazioni private. Alla lista di informazioni private che non si possono pubblicare su Twitter senza il consenso degli interessati, oltre al numero di telefono, email (se non pubblici), documenti di identità, dati bancari, dati biometrici o medici, indirizzo di casa, sono state aggiunte immagini o video, ovvero “media di privati individui ritratti senza consenso”. Twitter precisa che la policy non si applica a figure pubbliche o anche individui qualora media e tweet relativi siano condivisi in quanto informazione di pubblico interesse o per aggiungere valore al discorso pubblico (non rientrano quindi in questo la disseminazione di immagini private ANCHE di figure pubbliche o di individui che sono parte della conversazione pubblica se l’intento è intimidire, molestare ecc). Allo stesso modo già da prima erano vietate immagini di nudo o intime non consensuali.
L’introduzione di foto e video nella policy ha il nobile intento di proteggere giornalisti, attivisti, e spesso donne, dissidenti e minoranze da attacchi, come esplicitato da Twitter. Tuttavia l’applicazione di questa novità è stata sfruttata da esponenti dell’estrema destra americana e neo-nazi per far rimuovere tweet e account di ricercatori e giornalisti specializzati in indagini open source su gruppi estremisti e violenti. Molti di questi ricercatori avevano pubblicato immagini di persone ritratte nel corso di violente manifestazioni, racconta il Washington Post, e alcuni si sono trovati l’account bloccato per tweet vecchi di anni. Twitter ha riconosciuto l'esistenza di un afflusso di segnalazioni malevole e coordinate che hanno indotto in errore i team che devono applicare le nuove regole. Per altro nella sua policy è prevista l’eccezione proprio per casi di valenza pubblica, come un evento violento.
> Se avete bisogno di segnalare un account che ha pubblicato vostre informazioni personali, potete usare questo modulo.
SOCIAL MEDIA E IMMAGINI NON CONSENSUALI
Facebook e Instagram hanno (ri)lanciato uno strumento contro la diffusione di immagini intime non consensuali
Meta (la società madre di Facebook) ha lanciato insieme alla noprofit inglese Revenge Porn Helpline un sistema per aiutare gli utenti a prevenire la diffusione non consensuale di loro immagini intime sul social network (sia Facebook che Instagram). Il sistema è una estensione e un miglioramento di un precedente programma pilota. Nella nuova versione le persone che temino di subire o abbiano subito la diffusione di loro immagini intime sui citati social media possono segnalarle su questa piattaforma https://stopncii.org.
Cose importanti da sapere: la segnalazione può farla qualsiasi utente globale, non deve essere inglese; non viene caricata o salvata alcuna immagine nei sistemi dell’ong o dei social media, nessun umano vede l’immagine, questa non lascia mai il dispositivo dell’utente. Come spiega il sito “le tue immagini/video non lasciano mai il tuo device, saranno solo scansionate in modo da generare un hash, o impronta digitale. Una volta generato, l’hash sarà condiviso con le aziende che partecipano al programma (ovvero Facebook e Instagram, ndr)”. Se qualcuno tenta di caricare l’immagine sulle piattaforme di Meta, e si riscontra un match, un abbinamento con uno degli hash (impronte) salvati, gli viene impedito di postarla o condividerla.
Gli hash sono identificatori univoci e irreversibili, ovvero non si possono ricostruire i dati originari a partire dall’hash.
Il comunicato di Meta. Vedi anche NBC.
CLOUD ITALIA
Sei aziende di Italia, Francia e Germania studiano un'alleanza nel cloud, scrive Wired italia.
AI ITALIA
Cosa c'è dentro la strategia italiana sull'intelligenza artificiale - Wired Italia
CYBERSICUREZZA
Grave vulnerabilità minaccia sistemi aziendali e applicazioni
Se avete visto passare in giro il termine Log4j o Log4Shell, o se i vostri conoscenti che lavorano nei dipartimenti di infosecurity sono scomparsi nel weekend, è perché negli ultimi giorni è stata individuata una grave “vulnerabilità zero day che mette a rischio di attacco quasi tutte le applicazioni aziendali con Java; vari siti web, applicazioni e servizi famosi come Minecraft, iCloud, Twitter e Steam. Il bug permette di prendere il controllo dei loro server e client, secondo diversi ricercatori di sicurezza. La minaccia è stata battezzata appunto Log4j, dal nome della libreria vulnerabile”, scrive Cybersecurity360. La vulnerabilità è stata battezzata Log4Shell.
L’ho fatta breve ma è roba seria.
APPROFONDIMENTI
GIORNALISMO
Chi ha ucciso Lucas Villa?
Una indagine giornalistica di diversi gruppi che attraverso l’analisi di social media, video, e altro materiale cerca di capire chi ha ucciso in Colombia Lucas Villa, pacifico dimostrante che partecipava alle proteste contro il governo.
Bellingcat
CYBERSECURITY E POLITICA
Ascesa e caduta di un manager russo della cybersicurezza che si è inimicato il Cremlino. Reportage di Bloomberg (paywall) su Ilya Sachov, cofondatore della società di cybersicurezza russa Group-IB, improvvisamente accusato di tradimento. Secondo la ricostruzione di Bloomberg, per aver passato informazioni agli Stati Uniti sugli attacchi informatici eseguiti dal gruppo Fancy Bear, emanazione dei servizi militari russi GRU. Lo stesso gruppo accusato di aver attaccato i Democratici americani nel 2016.
CYBERCRIME E POLITICA
In parte collegato a sopra. Quando Usa, Russia e Ucraina collaboravano per arrestare cybercriminali russi/ucraini. Finché la politica non si è messa in mezzo (e chi collaborava veniva accusato di tradimento). Affascinante ricostruzione fra passato e presente di Kim Zetter sulla sua newsletter.
WEB3
“Il Web3 è una sciocchezza”. Forte presa di posizione contro (in inglese come gli altri link) di Stephen Diehl.
Sempre per restare tra i critici: “il mondo NFT è oligarchico”, scrive Ethan Mollick
Invece, il Web3 è un figata su Not Boring
CYBER SICUREZZA
Colpevolizzare il dipendente che cade in uno scam o un attacco di phishing o altro incidente informatico o di sicurezza è… controproducente, serve solo ad alienare le persone dall’organizzazione e a renderle più inaffidabili. Sembra ovvio ma evidentemente non lo è.
WSJ
TALK
Le slide del talk che ho presentato (in inglese) alla conferenza di computer security m0leCon, al Politecnico di Torino. S’intitola Backdoor Dreaming
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter e un neonato profilo Instagram. Seguiteli!
I podcast della newsletter (che escono il lunedì in genere, anche se ora sono in pausa) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).