Guerre di Rete - Big Tech, l'Ue e gli spyware
Cybersicurezza: dove stanno i candidati?
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.136 - 19 giugno 2022
Da oggi questa newsletter va in vacanza come ogni anno. Ci rivediamo a fine agosto circa, salvo imprevisti. Ma speriamo per tutti che non ci siano, e non dico altro per non gufarla :D Buone vacanze a tutti!
PS: tenete invece d’occhio il sito Guerre di Rete perché lì continueranno a uscire articoli.
Ricordo che questa newsletter (che oggi conta più di 10mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista degli oltre 500 donatori)
In più, a marzo il progetto si è ingrandito con un sito di informazione cyber, GuerrediRete.it. Qui spieghiamo il progetto. Qui l’editoriale di lancio del sito.
In questo numero:
- Big Tech, l’Ue e Pegasus
- Cybersicurezza: perché non si trovano candidati?
- Cloud italiano, a che punto siamo
- Assange, un appello contro l’estradizione
- Altro
SPYWARE
Big Tech fa fronte comune contro Pegasus e gli altri
Il 14 giugno davanti alla commissione del Parlamento Ue che indaga “sull’uso di Pegasus e su equivalenti spyware di sorveglianza”, nota come PEGA, si sono presentati i rappresentanti di Google, Facebook/Meta e Microsoft. L’incontro ha mostrato un fronte compatto di queste aziende tech contro il mercato degli spyware. Ricordo che tali strumenti usano l’infrastruttura, il servizio e/o le vulnerabilità dei prodotti di queste (e altre) aziende per infettare e poi sorvegliare i target. Tanto che in alcuni casi le società tech hanno avviato cause contro i produttori di spyware (nello specifico Whatsapp, di proprietà di Meta, e Apple (invitata dalla commissione ma non presente) hanno fatto causa a NSO, il produttore israeliano che commercializza lo spyware Pegasus, al centro dell’inchiesta europea - e la causa è ancora in corso. Di entrambe le vicende ho scritto qua e qua).
Guerre di Rete ha seguito l’incontro e questo è quanto emerso. Le tre aziende hanno insistito all’unisono sul fatto che questi strumenti siano proliferati negli ultimi anni, finendo anche nelle mani di regimi autoritari che non li usano solo per fare indagini contro criminali e terroristi (come sostengono i produttori) ma anche per spiare dissidenti, giornalisti, difensori dei diritti umani, politici. Che Pegasus è uno degli strumenti più sofisticati ma non l’unico. Altri nomi fatti sono stati quelli di Candiru (altra azienda israeliana) e Cytrox (azienda della Macedonia del Nord).
Kaja Ciglic, senior director per la diplomazia digitale a Microsoft, ha spiegato come la sua azienda abbia individuato un centinaio di vittime infettate con Candiru, la metà delle quali stavano in Cisgiordania e Striscia di Gaza, ma anche in altri Paesi, da Singapore all’Armenia, e poi anche in Spagna e UK (il report tecnico era uscito tempo fa).
Charley Snyder, Head of Cybersecurity Policy a Google, ha detto che la proliferazione di spyware commerciali dovrebbe preoccupare i politici e l’Europa. Che ben vengano le sanzioni come quelle prese dagli Usa contro NSO e Candiru, inserite nella Entity List dal Tesoro statunitense (una sorta di lista nera che limita le attività delle aziende inserite, ad esempio devono ottenere un'autorizzazione per comprare componenti da imprese americane). E che bisognerebbe lavorare di più sulla trasparenza di questo mercato. Ha anche ribadito che questi strumenti sono usati contro attivisti e giornalisti. E che gli spyware zero-click (in cui l’infezione avviene sfruttando una catena di vulnerabilità senza intervento alcuno dell’utente) sono “armi contro cui non esiste difesa”. Synder ha anche detto che Cytrox sarebbe stato usato per compromettere utenti in Serbia, Grecia e Spagna; alcuni di questi erano giornalisti. E che Google starebbe tracciando 30 vendor con vario livello di sofisticazione che vendono exploit e capacità di sorveglianza ad attori governativi. Tra l’altro, è emerso che Google, Facebook e Microsoft mandano ai propri utenti migliaia di notifiche di attacchi sponsorizzati da Stati ogni anno.
Particolarmente duro David Agranovich, Security Policy Director di Meta, che ha parlato di “sorveglianza in affitto”, ricordando come Meta abbia rilasciato un report in cui sono citate sette aziende che a vario titolo svolgono queste attività. Facebook ha un punto di vista specifico. Intercetta le attività precedenti alla compromissione vera e propria del target, dove si raccolgono informazioni e si costruisce il social engineering per avvicinarlo. “Abbiamo trovato una serie di società che nascondono i loro clienti, e dicono che questi usano i loro strumenti per indagare su terrorismo e criminali. Ma quando abbiamo guardato alle vittime, queste erano attivisti pro-democrazia, minoranze etniche, giornalisti”, ha detto Agranovich.
La commissione del Parlamento Ue nasce dal Pegasus Project, un insieme di inchieste giornalistiche sull’uso dello spyware Pegasus contro giornalisti, politici e attivisti, anche in Europa. Come abbiamo scritto anche in un recente articolo sul sito Guerre di Rete, la commissione avrà vita dura perché malgrado lo scandalo e lo sconcerto di molti parlamentari, gli Stati (spesso acquirenti di spyware) stanno remando contro. Finora i casi più eclatanti sono emersi in Ungheria, Polonia e Spagna. Ma non è finita qua. “Abbiamo fondati sospetti di 4 governi Ue che hanno usato Pegasus: Polonia, Ungheria, Grecia e Spagna”, ha commentato all’audizione Sophie In ’T Veld, eurodeputata del gruppo liberale centrista Renew Europe. “E sappiamo che Germania, Paesi Bassi, Belgio comprano anche questi spyware per la loro polizia”.
Il dibattito è stato molto interessante, ha mostrato un buon livello di preparazione dei politici in commissione, e non ha mancato di sottolineare anche le contraddizioni delle aziende tech, come ha fatto In ’T Veld, ricordando che contrastano questo mercato ma allo stesso tempo devono fare accordi coi governi che lo alimentano. Altri si sono chiesti come mai i grandi budget e le spalle larghe di giganti come le tre aziende tech invitate soccombano agli attacchi di realtà molto più piccole e con meno risorse come NSO (le risposte su questo non sono state molto soddisfacenti, per quanto sia complesso dare una risposta, e alla fine i relatori si sono appigliati al luogo comune che chi difende deve riuscirci sempre, a chi attacca basta riuscire una volta). La domanda che avrei voluto fare (qualcuno ci si è avvicinato) è la seguente: avete una stima di quanto siano tutti gli attacchi emersi, in percentuale, sul totale? Avete un'idea del sommerso? Abbiamo visto finora già un blocco consistente o la punta dell’iceberg?
Su tutto il tema ricordo ancora il mio lungo approfondimento, Spyware Ltd.
PEGASUS
Un acquirente americano per Pegasus?
Il contractor americano del settore difesa L3Harris sarebbe in trattativa per acquisire NSO Group, produttore di Pegasus, riferisce il Guardian (insieme a WashPost e Hareetz, anche se il primo in assoluto a dare la notizia è stata la testata di settore IntelligenceOnline). Ma, precisa, un simile accordo deve prima superare una serie di difficoltà, a partire da un difficile compromesso che dovrebbe essere raggiunto fra i due governi, americano e israeliano. Al momento le prime dichiarazioni della Casa Bianca non sembrano affatto incoraggianti: “Un simile transazione, se dovesse avvenire, solleverebbe serie preoccupazioni di sicurezza e controspionaggio”. Come ho scritto sopra, gli Usa hanno messo NSO nella Entity List: significa che NSO non può comprare componenti da aziende Usa senza una autorizzazione specifica; ma anche che un simile accordo necessita del via libera del governo americano. Un fuoco di sbarramento arriva dal mondo attivista e dei ricercatori di sicurezza, come John Scott-Railton del Citizen Lab, secondo il quale le agenzie americane non potrebbero fidarsi della tecnologia di NSO per le operazioni più delicate. Ma soprattutto un ok della Casa Bianca finirebbe col premiare e incoraggiare quest’industria (e relativi investitori). Sulla stessa linea il capo della security policy a Meta. Mentre il rappresentante di Google, all’audizione citata sopra, chiedeva ai governi di non investire in queste aziende, a meno che non abbiano controlli adeguati. Stessa richiesta da Agranovic di Meta.
LAVORARE NELLA CYBERSICUREZZA
Cybersicurezza in Italia: perché non si trovano candidati?
Le aziende italiane stanno facendo molta fatica a trovare persone che ricoprano i ruoli di cybersecurity che vengono effettivamente offerti. Il problema non è soltanto italiano. Lo scorso autunno, l’Agenzia per la cybersicurezza dell’Unione europea (ENISA) scriveva in un report che “nel mercato del lavoro manca personale qualificato per svolgere ruoli di sicurezza informatica e in grado di affrontare in modo sufficiente la gamma di minacce informatiche poste”.
Guerre di Rete ha fatto alcune domande a 51 professionisti che si occupano a vario titolo di sicurezza informatica in aziende italiane medio-grandi e ne emerge una situazione di difficoltà. Il 40,5% degli intervistati afferma che l’azienda ha aperto dalle 2 alle 5 posizioni per ruoli legati alla cybersecurity nell’ultimo anno; il 21,4% dice di averne aperte tra le 6 e le 10, mentre il 19% più di 10. Emerge evidente (88,1% degli intervistati) la difficoltà nel trovare candidati adatti ai ruoli.
Secondo ENISA, esistono 126 programmi di istruzione superiore in 25 diversi Paesi europei che rispondono ai requisiti dell’agenzia europea per la formazione – tra cui il fatto che almeno il 40% dei corsi proposti trattino temi legati alla cybersicurezza. Secondo la lista proposta da CyberHEAD, un database ENISA che raccoglie questi programmi accademici, in Italia sono 19, in prevalenza master.
“La mia impressione è che molte aziende si aspettino di trovare già dei professionisti fatti e finiti, mentre dovrebbero mettere loro stesse in campo un elemento di formazione. Il che vuol dire prendere un neolaureato che già ha studiato bene e formarlo per fare il lavoro effettivo, il che non è compito delle università”, ha commentato Stefano Zanero. “Ci sono le aziende di consulenza che assumono i ragazzi e li mettono in shadowing per qualche mese a un consulente più esperto e lo formano, ma capitano spesso e volentieri aziende per cui assumere uno stagista che si occupi di questi temi è il primo approccio alla sicurezza informatica”.
Leggi tutto l’articolo qua, firmato da Viola Stefanello.
UCRAINA
Cyberconflitto, diamo un po’ di numeri
Durante il conflitto in Ucraina sono stati registrati 226 attacchi cyber che hanno interessato 24 Paesi e 19 diversi settori. 36 sono invece i threat actors, gli “attori malevoli”. La maggior parte degli attacchi sono stati hack and leak, seguiti da DDoS, cyberspionaggio e wiper, più altre categorie difficili da classificare. Questi e altri dati sono stati raccolti dal CyberPeace Institute.
CLOUD ITALIANO
A che punto siamo?
“Con l’insediamento a maggio della Commissione giudicatrice è entrata nel vivo la gara per l’affidamento, mediante contratto di partenariato pubblico-privato, della realizzazione e gestione del Polo Strategico Nazionale, la gara da 723 milioni con cui il Governo punta a dotare la Pubblica Amministrazione di tecnologie e infrastrutture cloud in grado di ospitare i dati e i servizi critici e strategici di tutte le circa duecento amministrazioni centrali nonché quelli delle Aziende Sanitarie Locali e delle principali amministrazioni locali (Regioni, città metropolitane, comuni con più di 250 mila abitanti)”, scrive Linkiesta. “I lavori della Commissione giudicatrice che sta esaminando le proposte presentate dalle due cordate in gara (Tim-Leonardo-Cdp-Sogei e Fastweb-Aruba) hanno suscitato l’attenzione delle Commissioni parlamentari. Nelle scorse settimane, la Lega e il Movimento 5Stelle hanno infatti presentato alla Camera due ordini del giorno, accolti dal governo in aula, con i quali viene chiesto di presentare alle Commissioni parlamentari competenti, entro 30 giorni dall’aggiudicazione della gara, una relazione sull’espletamento delle procedure della gara stessa, nonché di garantire che il Ministro per l’innovazione tecnologica e la transizione digitale Vittorio Colao riferisca alle Camere ogni sei mesi sullo stato di avanzamento dei lavori relativi alla realizzazione del Polo Strategico Nazionale e sul livello di adesione della Pubblica amministrazione all’infrastruttura”
Secondo StartMag e altri giornali, nella gara sul PSN sarebbe tornata in pista la cordata “formata da Fastweb e Aruba che ‘avrebbe messo sul piatto uno sconto del 20% dunque più ghiotto del 10% offerto dalla cordata concorrente’. La differenza nell’offerta sarebbe notevole. Il 20% della gara per il PSN, realizzata dalla stazione appaltante Difesa Servizi spa secondo la formula del partenariato pubblico privato (PPP) e composta da tre capitolati per un valore di circa 3 miliardi, vale circa 600 milioni di euro”.
Ma in gioco ci sarebbero comunque anche i fornitori cloud americani. “La cordata Tim ha indicato come fornitori Google Cloud, Microsoft Azure e Oracle Cloud, mentre Fastweb e Aruba si appoggerebbero ad Amazon Web Services (AWS) e Microsoft Azure”.
WIKILEAKS
Assange, ultimo appello contro l’estradizione
“La ministra dell'Interno britannica, Priti Patel, ha ordinato l'estrazione negli Stati Uniti di Julian Assange. Il via libera finale da parte della responsabile dell'Home Office arriva dopo che nel Regno Unito era stata completata la procedura giudiziaria sulla controversa vicenda”, scrive SkyTg24. “Il cofondatore australiano di Wikileaks, che compirà 51 anni il 3 luglio, (...) non verrà estradato subito”, scrive HuffPost. “Ha ancora due settimane di tempo per tentare un ultimo appello di fronte alla giustizia britannica contro l'adeguatezza del provvedimento ministeriale. Nel caso di un rigetto potrà provare a rivolgersi alla Corte Europea dei Diritti Umani di Strasburgo, organismo che fa capo al Consiglio d'Europa di cui il Regno Unito fa tuttora parte”.
VIOLENZA DIGITALE
Almeno 2 milioni di persone in Italia hanno scoperto loro foto e video intimi online senza consenso
E una persona su sei ammette di aver prodotto almeno una volta questi contenuti e la metà di averli anche condivisi. Laura Carrer su Wired Italia.
APPROFONDIMENTI
AI
Che AI senziente, sono solo chatbot fluenti. Ma c’è un trucco per far credere agli umani che una AI sia senziente, scrive Clive Thompson in relazione alla storia di un ingegnere di Google convintosi che uno dei chatbot di intelligenza artificiale (AI) dell'azienda, (LaMda), sia diventato senziente. Una apparente vulnerabilità. Che è poi il punto anche di questo articolo di Wired.
LAVORO
Gli orribili boss della Silicon Valley
La cultura tossica che permea parte del mondo tech, specie quello più luccicante, specie se si parte dal top.
The Atlantic
Europa, guerra alla crittografia - Irpi Media
Carte d’identità, file riservati e password: online migliaia di documenti della Regione - Indip
Uscito il libro Insubordinati. Inchiesta sui rider edito dal gruppo Abele, autrice Rosita Rijtano (che aveva scritto del tema proprio per Guerre di Rete al lancio del sito). Recensione del Mattino.
EVENTI
ITASEC
La prossima settimane ci vediamo a ITASEC, la conferenza di sicurezza informatica organizzata dal CINI - Wired
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social.O diventa un suo sostenitore facendo una donazione. La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito di notizie, una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).