Guerre di Rete - Dell'attacco a SIAE

Facebook tra metaversi, nomi e liste. Guerra ai ransomware. Disinfo statale.

Dati Coveware

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.115 - 24 ottobre 2021

In questo numero si parla di:

• Facebook (nome, metaverso, liste)

• Cosa ho capito dell’attacco a SIAE

• Ransomware gang e governi, si alza lo scontro

• Disinfo francese

• Intercettazioni italiane, i dati?

• E molto altro

FACEBOOK
Ora il social network vuole cambiare nome
Non si sa ancora quale. Ma perché un rebranding, perché ora? Sintetizza e analizza assieme al meglio il giornalista Casey Newton nella sua newsletter: “L’azienda sta discutendo su questa decisione almeno da due mesi, mi dicono delle fonti. (...) Ci sono almeno due ragioni principali (...) Una è che la reputazione di Facebook ha iniziato a essere sostanzialmente danneggiata a partire dalle elezioni 2016 e, giusto o meno che sia, non si è mai ripresa. Lo scandalo sulla privacy e i dati legati a Cambridge Analytica; l’indagine FTC; l’inchiesta del Congresso sull’antitrust; una sfilza di ex dipendenti che hanno denunciato l’azienda mentre se ne andavano, culminati nelle rivelazioni della whistleblower Francis Haugen; attivismo da parte della sinistra contro l’hate speech e la misinformation presenti sulla piattaforma; attivismo da parte della destra contro la censura e il deplatforming da parte della piattaforma”.
A tutto ciò si aggiunga che le giovani generazioni sono sempre meno attratte dai suoi prodotti. 

La seconda ragione, prosegue Newton, è che Facebook come app non è il futuro di Facebook come azienda. Anche se non ci fossero stati tutti i passaggi appena descritti che hanno ammaccato la reputazione di Facebook, questa avrebbe comunque buone ragioni per spostare i suoi prodotti sotto il cappello di una nuova azienda, un nuovo brand. “Questa seconda ragione è sicuramente quella che sentiremo quando l’azienda ne parlerà. La prima invece è quella di cui tutti oggi vogliono parlare”. 

E c’è chi fa i paragoni con Philip Morris divenuta Altria.

Facebook e l’accelerazione sul metaverso
Non solo. Questa settimana il social ha promesso 10mila posti di lavoro in Europa nei prossimi 5 anni per la costruzione del suo metaverso. Scrive Corriere: Facebook “ha dichiarato l’intenzione di investire «nell’industria tecnologica europea e nel potenziale del talento tecnologico europeo» e di «trovare ingegneri altamente specializzati». A loro il compito di dare forma alla «piattaforma informatica del futuro» all’interno della quale vivremo «una nuova generazione di esperienze virtuali interconnesse che utilizzano tecnologie come la realtà virtuale e aumentata»”.

Ma che diavolo sarebbe questo metaverso? La spiegazione più articolata o quanto meno il paragone più illuminante è quello fatto da Andrea Daniele Signorelli in questo articolo di Wired con Fortnite, il noto videogioco che da tempo è diventato qualcosa di più di uno sparatutto, un luogo in cui si svolgono concerti, e perfino sfilate di moda. Un luogo che nella versione metaverso sarà ovviamente potenziato e ampliato, ovvero, scrive Signorelli, “un sottoinsieme fra virtuale e reale in cui le persone compiono azioni e le condividono nello stesso momento (parlano, si incontrano, guardano, giocano, ascoltano, comprano, ecc...)”.

Facebook e la regolamentazione degli algoritmi
Negli ultimi anni sono state avanzate, dagli Usa all’Europa, varie proposte di legge che vogliono regolare gli algoritmi usati dai social media per determinare cosa vedono gli utenti (l’esempio tipico è il news feed di Facebook, in cui è la piattaforma che seleziona e sceglie cosa farci vedere in modo personalizzato sulla base di una quantità di parametri), abbandonando in parte l’idea di agire invece sulla moderazione dei contenuti (per quanto riguarda gli Usa il passo indietro su questo piano deriva anche dallo scontro fra chi a sinistra voleva intervenire su discorsi d’odio e complottismi, e chi a destra denunciava il rischio di censura delle proprie posizioni; ma anche perché, scrive Will Oremus sul WashPost, il primo emendamento rende difficile regolare questo ambito).

Le proposte per regolamentare gli algoritmi sono molto diverse fra loro. Tra le più interessanti c’è quella europea inclusa nell’imminente Digital Services Act, che vuole includere degli obblighi di trasparenza alle piattaforme, le quali dovrebbero rivelare informazioni sui loro algoritmi e sulle pratiche di moderazione dei contenuti ai regolatori e/o a ricercatori indipendenti. E la proposta di alcuni accademici che immaginano una situazione in cui piattaforme come Facebook permettano a sviluppatori indipendenti di offrire agli utenti dei programmi per ordinare il proprio feed, in modo che possano scegliersi il sistema che preferiscono (Washington Post).

La lista nera di Facebook
Nel caso ve la foste persa The Intercept ha pubblicato la lista nera di Facebook, ovvero la lista di oltre 4mila “persone o organizzazioni pericolose” usata internamente per moderare contenuti. Sono andata a vederla. Ci sono ovviamente tantissimi gruppi terroristici (Isis ecc) nella categoria terrorismo.
Nella categoria Gruppi d’odio ci sono per l’Italia Blocco studentesco, Comunità militante dei Dodici Raggi, Casa Pound Italia, Forza nuova, Generazione identitaria, Lealtà azione, MAB Manipolo d’Avanguardia Bergamo, Partito nazionale Fascista, Repubblica sociale italiana, Rivolta nazionale, Skinhouse Milano, Ultras Sette Laghi, Varese Skinheads, Veneto Fronte Skinheads.

ALGORITMI E POLITICA
Twitter amplifica la destra ma non sa perché
Twitter ha condiviso pubblicamente i risultati di una sua ricerca che mostra come gli algoritmi della piattaforma amplifichino tweet di politici e media di destra, più di quelli di sinistra. La ricerca non ha identificato le cause, rileva solo questa amplificazione. Il prossimo obiettivo sarà cercare di individuare perché ciò accade.
The Protocol

MUSEI E SOCIAL MEDIA
Il museo va su OnlyFans
Vienna ha aperto un profilo su OnlyFans, una piattaforma a pagamento popolare soprattutto per i contenuti porno, in segno di protesta nei confronti dei limiti alla nudità imposti sui social network più diffusi che finiscono per censurare opere come quelle di Egon Schiele, scrive Il Post.

CYBERCRIME
Cosa ho capito dell’attacco a SIAE
Non c’è settimana che passi senza una qualche notizia di rilevanza nazionale o internazionale sui ransomware, i software malevoli che cifrano e chiedono un riscatto e che da mesi (come raccontato in continuazione in questa newsletter) sembrano aver raggiunto un climax (ma che riusciranno a mantenere ancora per quanto? Molti governi, Usa in testa, hanno infatti messo il contrasto ai ransomware e alle gang criminali che li gestiscono in cima alle loro priorità. Vedremo i risultati, anzi li vedrete andando avanti a leggere in una notizia correlata più sotto).

Intanto questa settimana abbiamo visto in Italia il caso di SIAE. Come al solito e come abbiamo già visto nel caso della Regione Lazio ad agosto è difficile anche solo avere chiare alcune informazioni di base su quanto accaduto. Per cui ho scelto un titolo volutamente minimalista. 

La rivelazione del data breach
Nella mattina del 20 ottobre qualcuno a livello internazionale inizia a notare che il sito (raggiungibile via Tor) della gang ransomware Everest ha pubblicato un nuovo annuncio/una nuova vittima: SIAE, la la Società italiana degli autori ed editori. La notizia viene ripresa da un utente Twitter italiano (@sonoclaudio), ricostruisce il sito Insicurezza Informatica, e successivamente dall’agenzia Agi e poi altri media.

Vediamo cosa c’è scritto sul sito della gang cybercriminale, che ha come modus operandi proprio di pubblicare dei campioni di dati che ha sottratto alle vittime, per convincerle a pagare un riscatto se non vogliono la diffusione di tutti i dati esfiltrati. Sul suo sito tra le vittime recenti ci sono società e avvocati francesi, aziende brasiliane, irlandesi. L’ultima in ordine di apparizione è SIAE.

“Società italiana degli Autori ed Editori. Questi sono dati dei clienti, documenti finanziari, e altri importanti documenti. Un enorme numero di passaporti, patenti, documenti di pagamento, conti bancari, carte di credito e altri dati degli utenti. Mentre l’azienda decide se ricomprarsi i dati, studiamo la richiesta per questi dati”.

Questo all’inizio, vedremo che poi la gang modificherà il testo. Nel mentre la SIAE conferma l’attacco ad AGI, che scrive: “Secondo quanto ha appreso l'AGI, l'attacco ha riguardato dati sensibili degli iscritti alla società, circa 28mila documenti tra carte di identità, patenti, tessere sanitarie e indirizzi. Solo una piccola parte di questi al momento è stata pubblicata nel dark web. La Società italiana degli autori e degli editori è già a conoscenza dell'intrusione nel proprio database da parte di attori malevoli e ha informato in mattinata la polizia postale e il garante della privacy per tutelare i dati dei propri iscritti, oggetto del 'data breach' (fuga e pubblicazione di dati) che riguarda circa 60 gigabyte di dati degli iscritti. Il riscatto è di 3 milioni, chiesti in bitcoin”.

No cifratura, solo furto dei dati
E ancora, un elemento piuttosto rilevante: “La società spiega all'AGI che non ha alcuna intenzione di dare seguito alla richiesta, e che nessun riscatto sarà pagato. (...) I dati oggetto dell'attacco hacker non sono stati criptati ma 'esfiltrati' dal database della società per poi essere pubblicati sul dark web e sono solo una piccola parte di un database di 60 gigabyte rubato alla società”.

Dunque quello che abbiamo capito finora è che una conosciuta gang cybercriminale, che inizia a farsi notare di più a inizio 2021 (prende di mira vittime di alto profilo ma muovendosi comunque in modo opportunistico, nota l’esperto Emanuele De Lucia su Cybersecurity360), ha colpito la SIAE, col risultato quanto meno di essere riuscita a esfiltrare 60 GB di dati sui suoi iscritti e dipendenti. A detta della SIAE non ci sarebbe stata invece cifratura dei dati, che solitamente è la componente principale delle azioni delle gang di ransomware, ed ha l’obiettivo di chiedere un riscatto in cambio della chiave di per decifrare tutto.
Una nota importante. A questa prima estorsione alcune gang negli ultimi anni hanno aggiunto anche la minaccia di diffondere dati (in tal caso prima sottraggono i dati e poi cifrano, e qui si parla allora di doppia estorsione). Ma, secondo un recente report TrendMicro (che cita anche Everest), a queste due tipologie si aggiungerebbero a volte casi di tripla estorsione (esfiltrazione, cifratura ma anche DDoS, ovvero un attacco di negazione distribuita per impedire il funzionamento di un sito o servizio); o addirittura quadrupla estorsione (esfiltrazione dati, cifratura sistemi, DDoS, e infine la tentata comunicazione con singoli clienti dell’azienda colpita per fare pressione o ricattarli a loro volta).

Dunque in questo caso, stando a quanto emerso su alcuni media via SIAE, avremmo addirittura solo il data leak, anche se non è chiaro il motivo: scelta della gang? Non sono riusciti a usare un ransomware? Qualcosa non è andato come previsto?
Inoltre di che dati stiamo parlando? Il direttore generale della Siae, Gaetano Blandini, ha detto in tv al Tg1: “Per fortuna non sembrerebbero esserci i dati economici, cioè relativi a Iban bancari o cose di questo genere, solo dati anagrafici relativi a carte d’identità e codici fiscali e dati di molti nostri dipendenti” (quindi pare di capire non le carte di credito ecc citate nel comunicato dei cybercriminali.) Molti hanno però osservato come i documenti di identità siano comunque dati molto sensibili, e che la loro diffusione ben si presti a tentativi di furto d'identità. (Gli Iban comunque ci sono, come specificato successivamente dalla stessa SIAE).

Ad ogni modo Blandini dice anche altro a SkyTg24, ovvero quando avrebbe avuto notizia dell’attacco. “Il 18 ottobre, in una mail in inglese arrivata alle 4.53 del mattino, mi veniva detto che erano stati rubati un sacco di dati sensibili della società. Mi chiedevano di contattarli ad un indirizzo di posta elettronica dando loro, entro il 25 ottobre, 3 milioni di euro in Bitcoin per la restituzione dei dati. Ovviamente io non ho risposto a questa mail”.
Blandini aggiunge anche che, dopo aver contattato una società specializzata in gestione di attacchi informatici, sarebbe “venuto fuori che effettivamente [gli attaccanti, ndr] hanno acquisito della (sic) password per entrare nel cuore dei nostri sistemi informativi e si sono portati via 28mila file”. Acquisito la/le/quali password, e in che modo? Vedremo che poi, nel suo comunicato, SIAE parla di una utenza.

I precedenti attacchi di phishing agli associati via Sms
A generare confusione è anche il riferimento a un precedente attacco di phishing (“alcune settimane prima”) che avrebbe interessato SIAE, in particolare i suoi associati. “Hanno cominciato a mandare degli Sms e dei WhatsApp ad alcuni nostri associati chiedendo loro di rispondere per evitare di essere cancellati dalla Siae”, racconta Blandini a Skyg24.

In effetti settimane prima ci sono state varie campagne di phishing mirate a iscritti SIAE.
“Tra settembre e ottobre la SIAE ha subito almeno quattro campagne di phishing e prima non era mai successo - commenta a Guerre di Rete Andrea Draghetti della società di threat intelligence D3Lab - erano campagne mirate chiaramente ai clienti della SIAE diffuse via SMS con domini ad hoc. Richiedevano testualmente di firmare la petizione "Riapriamo la cultura al 100x100" lanciata in questo periodo dalla SIAE ma in realtà il sito di phishing rubava email e password delle vittime. Tuttavia dalle DropZone [dove i criminali si salvano le credenziali carpite] di queste campagne di phishing non abbiamo rilevato nessuna email @siae.it o quella menzionata nel sito del team Everest da farci pensare che un dipendente sia caduto in queste campagne di phishing e quindi ne abbiano approfittato”.

Tra gli iscritti SIAE che sembrano essere stati oggetto di questi tentativi di phishing precedenti alla rivelazione del data leak ci sarebbe anche Albano. Il cantante ha dichiarato a Tgcom: “Sono stato ricattato dieci giorni fa via email da qualcuno che mi chiedeva gli estremi della carta perché c'erano stati dei problemi con i miei dati Siae. Non sono caduto nel tranello e ho fatto bene a non cedere al ricatto: con me non la scampano".

Il ricatto ai singoli associati
Ad ogni modo nei giorni successivi la gang Everest sembra aver provato a giocarsi la quarta carta del poker dell’estorsione (che abbiamo visto sopra), ovvero il tentativo di andare a sollecitare o ricattare singole vittime del leak dell'organizzazione colpita. Come verificato anche da Guerre di Rete, il testo di presentazione sul loro sito è stato infatti modificato col paragrafo:“L’azienda non ha fatto un accordo. Il prezzo per tutti i dati è 500mila dollari. Rappresentanti di celebrità possono contattarmi e riscattare i loro dati. Una sola vendita e dopo i dati sono cancellati”.

Venerdì 22 ottobre si è poi aggiunto un altro tassello. I criminali hanno rilasciato due archivi contenenti due tranche di documenti, come segnalato da più parti. E sempre da più fonti iniziano a essere evidenziati Sms ricevuti da associati SIAE in cui si intima agli stessi di pagare 10mila euro in bitcoin, pena la pubblicazione dei propri dati personali. Tra questi l’artista Samuele Bersani, che dice alcune cose interessanti a Repubblica. Oltre a comunicare il messaggio standard di ricatto ricevuto giovedì (“Benvenuto nel darkweb, abbiamo tutte le tue informazioni, numero di telefono, indirizzo, iban, se non vuoi che vengano rese pubbliche paga 10.000 euro tramite bitcoin entro e non oltre il giorno 22”), Bersani dice due cose rilevanti: di aver ricevuto anche lui i tentativi di phishing precedenti, settimane prima, e soprattutto, collegato a questo primo episodio, di aver ricevuto anche una telefonata in italiano. “All'inizio di ottobre. Mi sono arrivati degli sms, sempre con mittente "Siae", in cui mi si chiedeva di aderire a una petizione inserendo le mie credenziali dell'account Siae. Erano i giorni intorno al mio compleanno. Non gli ho dato peso, però poi il 6 ottobre ho ricevuto una telefonata". Un uomo. “Sì, parlava italiano. Diceva di chiamarmi per conto della Siae e con tono arrogante mi ha chiesto perché non avessi ancora aderito alla petizione. Ero disorientato e stavo per abboccare, lo ammetto, ma per fortuna non ricordavo la password. E quello si è pure arrabbiato! "Come, non si ricorda le sue credenziali? Ma come è possibile?", insisteva…”

Comunicati Garante e SIAE
Il Garante privacy ha aperto una istruttoria, comunicando che la SIAE avrebbe notificato all’Autorità, entro i termini previsti dalla normativa sulla privacy, la violazione dei suoi server a causa di un attacco hacker con finalità estorsive. E di stare “valutando le informazioni ricevute dalla Società, riservandosi di svolgere gli opportuni approfondimenti”.

SIAE ha poi emesso un comunicato al riguardo in cui dice tra le altre cose che “un gruppo criminale ha effettuato la copia di taluni file presenti nel sistema documentale della Società, prevalentemente file pdf” (quindi c’è stato solo furto di dati e non cifratura). “Non appena avuta notizia dell’accesso fraudolento al proprio sistema documentale, SIAE è intervenuta bloccando l’utenza che operava a danno della Società e dei soggetti interessati dalla violazione”. E ancora: “l’aggressione ha interessato file relativi a tipologie diverse: -dati anagrafici; - dati di contatto (mail, numeri telefonici); - dati bancari (IBAN); - dati riportati su documenti di identità; - dati riportati sui moduli di adesione a SIAE relativi prevalentemente agli anni 2019 e 2020”.

RANSOMWARE
Contrattacco alle gang
Lo avevano detto che sarebbero andati a cercare di colpire le infrastrutture usate dalle gang ransomware e così hanno fatto. Reuters riferisce che il gruppo ransomware REvil - che gestisce un servizio di “ransomware come servizio”, ovvero distribuisce ransomware attraverso un rete di affiliati, e che ha nel palmarès (direttamente o attraverso gli affiliati, come i partner Darkside) la violazione dell’oleodotto Colonial Pipeline negli Usa, quella del produttore di carne JBS, così come l’attacco supply chain condotto attraverso il fornitore americano di tecnologia Kaseya - è stato a sua volta “hackerato” e messo offline questa settimana da un'operazione gestita da diversi Paesi. Il suo sito “Happy Blog” è irraggiungibile. Secondo un esperto sentito da Reuters, FBI, Cyber Command americano, Secret Service (agenzia Usa che si occupa anche di contrasto al cybercrimine) e altri Stati hanno interrotto le attività di questo gruppo. La società di threat intelligence Recorded Future ha rilevato che uno dei suoi leader, noto come 0_neday, che aveva fatto ripartire le operazioni della gang dopo una precedente messa offline, avrebbe dichiarato su un forum che i server di REvil sono stati violati (hacked). “I server sono stati compromessi e mi stavano cercando. Buona fortuna, io mi chiamo fuori”.

C’era già stata una prima parziale operazione di questo tipo dopo l’attacco a Kaseya. Allora l’FBI aveva ottenuto la chiave per decifrare i sistemi infettati attraverso Kaseya, ma per settimane l’aveva tenuta per sé (invece di distribuirla alle vittime) perché non voleva allertare il gruppo dei progressi che stavano facendo gli investigatori nel penetrare i sistemi della gang.  E alla fine era riuscita a ottenere il controllo di alcuni suoi server, mandando offline i suoi siti. Successivamente 0_neday e altri avevano ripristinato l'infrastruttura dai backup senza realizzare che anche questi erano stati compromessi, riferisce ancora Reuters. Che aggiunge come un “partner straniero del governo Usa abbia eseguito l’operazione di hacking che ha penetrato i computer di REvil” (sono pronta a scommettere una pizza su quale sia il partner straniero, ma solo in privato).

L’intera operazione nascerebbe dalla decisione del vice procuratore generale Usa Lisa Monaco di trattare gli attacchi ransomware a infrastrutture critiche come una questione di sicurezza nazionale simile al terrorismo. Questo ha permesso al Dipartimento di Giustizia di avere il supporto della Difesa e di altre agenzie di intelligence. “Prima non potevi violare (hack) questi forum e i militari non volevano averci a che fare. Ora la cosa si fa seria”, ha commentato un esperto su Reuters.

Alert infrastrutture e industrie
Tra l’altro lunedì il governo Usa ha pubblicato un avviso sulla gang ransomware BlackMatter che starebbe colpendo infrastrutture critiche americane, inclusa l’industria agroalimentare. Quest’ultima è stata presa di mira negli ultimi mesi: a settembre un produttore di grano, New Cooperative, e un fornitore di prodotti agricoli del Minnesota, Crystal Valley Cooperative. Di JBS abbiamo già detto.
E’ solo l’ultimo degli alert congiunti dell’agenzia per la cybersicurezza e la sicurezza delle infrastrutture (CISA), dell’FBI e della NSA. Poco prima ce n’era stato uno su acquedotti e impianti di trattamento dell’acqua (tre casi nel 2021). In quanto a BlackMatter, il gruppo chiede riscatti che vanno dagli 80mila ai 15 milioni di dollari in criptovalute (bitcoin e monero) e gestisce un sistema di ransomare come servizio (come detto sopra vuol dire che hanno una rete di affiliati con cui si dividono compiti e utili).

Il sistema delle affiliazioni (e il cambio di nomi da parte dei vari gruppi, così come lo slittamento semantico tra nome della gang e/o nome del malware usato) a volte crea un po’ di confusione nelle attribuzioni di specifici attacchi. BlackMatter ad esempio è considerato da alcuni un rebranding di Darkside (a sua volta legato a REvil)
(Cyberscoop).

Coordinamenti internazionali
Sempre nei giorni scorsi funzionari di 32 governi si sono incontrati virtualmente per coordinare la risposta ai ransomware. Tra le proposte: condividere più informazioni su cyberattacchi e indagini; spingere le aziende a investire in sicurezza; colpire l'infrastruttura finanziaria dell’economia cybercriminale (di cui avevo scritto qua); più uniformità nei controlli sugli exchange di criptovalute.
WSJ

Dalla caccia grossa a quella di media taglia?
Tutti questi movimenti governativi freneranno a breve l’ondata di ransomware? Sicuramente il clima è mutato. Secondo alcune analisi, una delle prime conseguenze potrebbe essere uno spostamento nella scelta dei target da parte dei gruppi cybercriminali: da quelli più grossi, e con grossi riscatti (il cosiddetto big game hunting, la caccia grossa, cui si sono dedicati ultimamente) a quelli di taglia media, midgame hunting. La ragione è che questi target più modesti, almeno secondo i criminali, non innescherebbero subito indagini di sicurezza nazionale. Alcuni dei primi dati mostrati in un articolo di Security Boulevard mostrerebbero un movimento in tale direzione.

CYBERCRIME
A reclutare esperti di cybersecurity ora ci si mette pure il cybercrimine
E ancora, a proposito di cybercrime, c’è una storia insieme grottesca e inquietante. Un noto gruppo cybercriminale, chiamato FIN7, avrebbe creato una finta società di sicurezza informatica per assumere ricercatori e indurli (non è chiaro con quale livello di consapevolezza) a partecipare ad attacchi ransomware. La società in questione si chiama Bastion Secure e si presenta come un servizio di pentest per aziende e enti pubblici. Tuttavia secondo un report di Recorded Future in realtà sarebbe gestita da FIN7 (TechCrunch).
Qualcosa mi fa pensare che non sia il primo caso né l’ultimo. Se ne conoscete di simili, potreste segnalarmeli (anche anonimamente qua https://contact.carolafrediani.org/#/).

ATTACCHI STATALI
270 threat actor statali
Se pensate che coi ransomware siamo messi male ma che con l'hacking di Stato vada meglio, ho brutte notizie. Google ha fatto sapere che i suoi ricercatori di sicurezza tracciano più di 270 threat actor (entità che compiono azioni malevole in ambito cybersicurezza) sponsorizzati da Stati in circa 50 Paesi. Le attività includono cyberspionaggio e campagne di disinformazione.

ATTACCHI STATALI 2
Telco (e i metadati delle telefonate) nel mirino
Un gruppo di attaccanti denominato LigthBasin è entrato nelle reti di almeno 13 compagnie di telecomunicazioni (almeno a partire dal 2019) e ha acquisito i metadati sulle telefonate e i messaggi di testo dei suoi clienti, scrivono Reuters, e altre testate citando il report di una società di cybersicurezza, Crowdstrike. Il report non accusa direttamente la Cina ma evidenzia alcune possibile connessioni tra il gruppo e precedenti attacchi attribuiti a Pechino.

DISINFO DI STATO
À la guerre (de l’information) comme à la guerre (de l’information)
Il ministro francese delle Forze Armate ha ammesso il fatto che il Paese conduca operazioni di  “guerra delle informazioni” (equivalente all’inglese information warfare), un genere di attività che più spesso negli ultimi anni abbiamo visto attribuita a Paesi come Russia, Cina e Iran.
Ora la Francia ha addirittura presentato la propria dottrina al riguardo.
“Il campo dell’informazione (..) è un luogo di competizione strategica”, ha spiegato il ministro delle Forze Armate, Florence Parly. “Informazioni false, manipolate o sabotate sono un’arma”. Anche se, aggiungono i francesi, queste azioni vanno eseguite in stretta compliance con la Carta delle Nazioni Unite e il diritto internazionale umanitario. Un margine stretto, scrive Le Monde. La nuova dottrina presuppone che l’esercito possa ora ricorrere alla distribuzione di contenuti online per ingannare l’avversario (in limitati contesti all’estero, non internamente). Ma che vuol dire esattamente? Ricordo che lo scorso dicembre Facebook aveva rimosso una campagna di profili inautentici che aveva attribuito proprio alla Francia (e attiva nella Repubblica Centrafricana e in Mali). 
Forse è l’ora di aprire il dibattito in tutti i Paesi democratici, Italia compresa, su questo elefante nella cristalleria che fino ad oggi abbiamo ignorato. 

INTERCETTAZIONI ITALIA
Dove stanno i dati?
Il Copasir ha approvato la “Relazione sulla disciplina per l’utilizzo di contratti secretati, anche con riferimento al noleggio dei diversi sistemi di intercettazione”. Riporto testualmente dall’articolo di Formiche: “Alla luce dei dati della relazione al Copasir sull’attività di controllo esercitata dalla Corte dei conti nell’anno 2020 (131 atti esaminati, 100 registrati, per lo più provenienti dal ministero della Difesa), il Comitato ha ritenuto necessario segnalare al Parlamento “l’incompletezza delle informazioni rese da talune Amministrazioni ed Enti che denotano un quadro contrassegnato da lacune e carenze”.

In particolare, viene sottolineato che, “a fronte della presumibile ponderosa attività delle Procure anche in merito all’impiego di sistemi di intercettazione che vede l’ordinamento italiano tra i maggiori utilizzatori di tali strumenti, per il ministero della Giustizia sono stati registrati solo 6 atti (compresi 4 giacenti) di cui 4 riferiti al noleggio di sistemi di intercettazione per una sola sede di Tribunale a fronte di 140 Tribunali sul territorio italiano”.

Bene ma non benissimo. Così come per la mancanza di linee guida per il corretto impiego delle strumentazioni volte ad attività di intercettazione e captazione.

FRONTIERE
L'Europa finanzia anche con aiuti umanitari sorveglianza digitale in Africa e nei Balcani (Wired Italia)

SPYWARE 
Le prime ricadute “politiche” dello scandalo Pegasus
L’University of Cambridge ha interrotto i colloqui con gli Emirati Arabi Uniti su una collaborazione da 400 milioni di sterline a seguito delle rivelazioni sull’utilizzo dello spyware Pegasus (prodotto dalla israeliana NSO Group e venduto a vari governi) da parte dello Stato del Golfo (Guardian). Intanto un consigliere di Macron si è incontrato con la controparte israeliana per discutere il fatto che alcuni ministri francesi siano stati presi di mira con Pegasus.  (Guardian).

APPROFONDIMENTI
Intervista su CheFare a Laura DeNardis, docente di Internet Governance all’università di Washington, autrice del recente saggio Internet in ogni cosa (uscito in italiano per Luiss University Press). Uno stralcio: ““Le persone si concentrano sulle tecnologie che possono vedere, che stanno di fronte a loro, come i social media o un oggetto come Alexa. In questi casi, tra l’altro, c’è ormai una certa attenzione nei confronti della privacy e soprattutto c’è la possibilità di scegliere: di disattivare Alexa, di spegnere il computer o di mettere lo smartphone in un’altra stanza. Le questioni più importanti legate alla riservatezza riguardano però quei dispositivi che non possiamo vedere: oggetti che sono tutti attorno a noi, ma che magari appartengono a un’altra persona o che potremmo non sapere essere connessi”. 

PER I PIU’ TECNICI
Client-side scanning is like bugs in our pockets (EPFL)

TALK
Nelle scorse settimane, per chi fosse interessato, ho fatto questo talk sul concetto troppo abusato di esseri umani come anello debole della cybersicurezza e su tutte le insidie di questa metafora (al CyberAct Forum, qua VIDEO e qua slide).

Poi con Martina Pennisi abbiamo chiacchierato di guerre digitali al festival della scienza di Bergamo (VIDEO).

—> SOCIAL E PODCAST DI GUERRE DI RETE

Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter e un neonato profilo Instagram. Seguiteli!

I podcast della newsletter (che escono il lunedì in genere, anche se ora sono in pausa) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm). Ogni due settimane circa esce anche Chat di Rete, podcast di interviste condotto assieme a Vincenzo Tiani.

→ DIFFONDI LA NEWSLETTER

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.  La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista donatori).

La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti. Ciao!