Guerre di Rete - Diplomazia dei ransomware
Spyware contro politici e attivisti israeliani? Europol sequestra VPN.
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.121 - 23 gennaio 2022
Ricordo che questa newsletter (che oggi conta circa 10mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista degli oltre 500 donatori)
In questo numero si parla di:
- Lo spyware Pegasus usato contro attivisti israeliani, denuncia inchiesta
- La diplomazia (e la cyberwarfare) dei ransomware
- Uffici Usa nel caos, e dati della Croce Rossa compromessi
- Europol sequestra una VPN
- Uk contro la cifratura end-to end
- Registro opposizioni, novità in arrivo
- e altro
SPYWARE
“Pegasus usato contro cittadini israeliani non indagati”, denuncia un’inchiesta
Un’unità della polizia israeliana avrebbe usato lo spyware Pegasus per ottenere informazioni personali su un attivista sociale in Israele. E poi le avrebbe usate per seguirlo e creare un file sulla sua vita privata. E questo senza che ci fosse un'indagine su di lui, ma solo come attività di intelligence. Ma sono i dettagli a rendere la vicenda anche più agghiacciante. La polizia avrebbe “hackerato” lo smartphone del target, sposato, e avrebbe visto che la vittima usava l’app di incontri Grindr per vedere degli uomini. A quel punto lo avrebbe pedinato, raccogliendo informazioni su questi incontri come “leva per le indagini”. A denunciarlo è la testata israeliana Calcalist, ma questa è solo una storia di una vicenda più grossa che riguarda l’uso dello spyware Pegasus (prodotto dalla azienda israeliana NSO Group e venduto ai governi) su civili israeliani da parte di una unità della polizia. Tra i target di questa unità (che avrebbe usato lo spyware dal 2013 ma ne avrebbe ampliato l’utilizzo dal 2015 dopo che Roni Alsheich, un ex dirigente dello Shin Bet, i servizi segreti, è stato nominato capo della polizia) ci sono attivisti e politici. In particolare ci sono dei sindaci, leader di proteste contro l’ex primo ministro Netanyahu, dipendenti governativi e una persona vicina a un importante politico. L’hacking sarebbe avvenuto senza la supervisione di un giudice, senza un mandato o una richiesta della polizia, e senza controllo sui dati raccolti o su come poi sarebbero distribuiti ad altre agenzie.
È la prima volta che emergerebbe l’uso di Pegasus contro cittadini israeliani, senza un mandato di un giudice, e che escono dettagli su una sezione di SIGINT, di raccolta di cyber intelligence, della stessa polizia, riempitasi di ex membri dell’unità 8200 dell’intelligence militare israeliana. Anche se recentemente era emerso l’utilizzo dello spyware contro attivisti palestinesi, come avevo raccontato qua.
Oltre a Calcalist, anche la testata Haaretz ha confermato di avere una copia di una fattura della polizia per l’acquisto di Pegasus. Sebbene usato all’estero, si era sempre pensato che l’utilizzo dello spyware internamente fosse proibito, e che comunque fosse lo Shin Bet a occuparsi di certe operazioni. Ma se le rivelazioni di Calcalist sono vere, vuol dire che la cultura della sorveglianza dello Shin Bet ha impregnato anche la polizia, che, incapace di svilupparsi questi strumenti autonomamente, li ha comprati da NSO, scrive in sintesi Haaretz.
Non solo. Siccome l’uso di Pegasus doveva restare nascosto, in molte occasioni le informazioni di intelligence raccolte sarebbero state “whitewashed”, un termine dell’intelligence che indica il tentativo di attribuire l’informazione ottenuta da una fonte a un’altra, in modo da non rivelarne la vera origine. (Per inciso, un processo che in altri contesti viene anche chiamato parallel construction (costruzione parallela), se n’era parlato in occasione di prove raccolte illegalmente dalla NSA negli Stati Uniti e passate alla DEA, l’agenzia antidroga, che però doveva in qualche modo ricostruirle senza mostrare il legame con l’agenzia di sicurezza nazionale il cui mandato di intercettazione e sorveglianza copre l’estero).
Sulla vicenda in Israele ci sarà un’indagine (Times of Israel).
Donne colpite in Medio Oriente
Sempre nei giorni scorsi una nuova indagine guidata dalla ong Front Line Defenders ha rivelato l’hacking del telefono di due attiviste, una donna del Bahrein e una della Giordania. Anche in questo caso, secondo l’ong, sarebbe stato utilizzato lo spyware Pegasus. “Per target donna, la sorveglianza digitale è una bomba a orologeria”, scrive Front Line Defenders. “Vivono con la paura di come le loro informazioni personali, incluse foto, video e conversazioni private, possano essere usate contro di loro a ogni momento, spalancando la porta a molestie e abusi. Questo è particolarmente preoccupante in una regione dove i governi sono soliti ‘doxxare’ (rivelare info personali di) donne e attivisti LGBTQ+ per infangarli e intimidirli riducendoli al silenzio”.
La lista delle vittime (note)
Ci sono stati oltre 450 casi di sospetto hacking con Pegasus, scrive Haaretz. Ma quanti sono e chi sono i casi in cui Pegasus è stato ritrovato sul telefono? La testata israeliana ha compilato una lista di nomi in cui l’infezione è stata confermata dal Security Lab di Amnesty o da altri gruppi di ricercatori (come il Citizen Lab) o da un'agenzia di intelligence, o aziende come Apple e Whatsapp.
Va detto che NSO, che vende Pegasus ai governi a fini di indagini e ha sempre detto di non conoscere le situazioni specifiche in cui viene utilizzato, ha negato la maggior parte di questi casi, dicendo che l’analisi forense non può davvero identificare il suo software.
Ad ogni modo vale la pena sottolineare che nella lista compilata da Hareetz ci sono anche giornalisti, politici e attivisti che vivono in democrazie (o perché il loro stesso governo avrebbe usato uno spyware, o perché un altro governo li avrebbe presi di mira). Segnalo in particolare che ci sono 4 giornalisti francesi; 5 giornalisti ungheresi, e un attivista; 11 indiani tra attivisti, avvocati ecc; un politico, un legale, un magistrato polacchi; due attivisti britannici; 11 funzionari governativi statunitensi. Ma la lista è lunga, la trovate qua.
Fermare il “dispotismo come servizio”
“La proliferazione di questo tipo di dispotismo-come-servizio è diventata una delle maggiori minacce alla democrazia liberale, alle società civile e ai diritti umani", scrive in una riflessione Ron Deibert, direttore del Citizen Lab che da anni pubblica ricerche su questo genere di strumenti. E prosegue spiegando cosa bisognerebbe fare. Siccome una moratoria globale è difficile da attuare, scrive Deibert, la soluzione va cercata su più piani. Ovvero: chiedere ai governi più trasparenza e responsabilità sui contratti con cui si riforniscono di queste tecnologie; aumentare i controlli sulle esportazioni; utilizzare le regolamentazioni esistenti per chiedere conto alle industrie o ai soggetti che permettono abusi di queste tecnologie, e limitarne le attività (come ha fatto il governo Usa quando ha messo nella sua entity list (una sorta di lista nera) i due produttori di spyware NSO e Candiru). Infine, favorire un quadro legale che permetta alle vittime di fare causa alle aziende responsabili e ai governi.
-> Ricordo che a settembre Guerre di Rete ha pubblicato uno speciale sugli spyware di Stato, intitolato Spyware Ltd)
RANSOMWARE
Caos amministrativo per milioni di dipendenti Usa
Un attacco ransomware avvenuto a metà dicembre sta ancora provocando caos amministrativo per milioni di persone negli Stati Uniti. Si tratta dell’incidente che ha coinvolto Ultimate Kronos Group, una società che fornisce una piattaforma cloud per la gestione della forza lavoro (Kronos Private Cloud). A distanza di settimane i suoi clienti fanno fatica a gestire e programmare turni e ore lavorate dei dipendenti, e gli effetti si ripercuotono anche su pagamenti e cedolini. Alcuni hanno dovuto ricorrere a file Excel, altri a Google Forms. Nel mentre vari dipendenti lamentano di non aver ricevuto i compensi dovuti.
Stiamo parlando di un sistema che viene utilizzato da migliaia di datori di lavoro negli Stati Uniti, incluse realtà come FedEx, PepsiCo, Whole Foods, oltre a università e amministrazioni locali. Ben otto milioni di dipendenti sarebbero interessati dal disservizio. Tra questi, 20mila lavoratori del trasporto pubblico dell’area metropolitana di New York; impiegati di FedEx e Whole Foods; addetti al settore sanitario, questi ultimi colpiti in modo particolare. Oltre 1500 dipendenti della città di Santa Fe (New Mexico) hanno dovuto usare file Excel per tracciare le ore lavorate, invece dei “cartellini” online personalizzati sul loro dipartimento. Ora alcuni clienti e anche alcuni lavoratori stanno imbastendo delle cause legali contro il fornitore del servizio (o lo stesso datore di lavoro che non avrebbe pagato il dovuto). Attacco ransomware Kronos: avrà effetto sui pagamenti? si chiedeva a dicembre Usa Today. La risposta oggi possiamo darla ed è sì. (NPR)
Croce Rossa, compromessi dati su mezzo milione di persone vulnerabili
Una violazione informatica ha compromesso i dati su mezzo milione di persone seguite da Croce Rossa e Mezzaluna Rossa Internazionale, ha annunciato mercoledì il Comitato Internazionale della Croce Rossa. Le informazioni riguardano gruppi di persone molto vulnerabili, tra cui famiglie separate da guerre e conflitti. In particolare si tratterebbero di nomi, luoghi e informazioni di contatto di 515mila persone sparse per il mondo. E le informazioni di login di duemila dipendenti e volontari della Croce Rossa e della Mezzaluna Rossa. Il Comitato ha fatto sapere di non avere indicazioni su chi “abbia compiuto il cyberattacco, che ha colpito una azienda esterna in Svizzera pagata dal Comitato per conservare i dati. Non ci sono ancora indicazioni che le informazioni compromesse siano state condivise o diffuse pubblicamente”. Ma successivamente ha aggiunto un dettaglio, ovvero che si sarebbe trattato di “un attacco diretto ai server del Comitato, non all’azienda che li hostava”. A causa dell’attacco il Comitato ha dovuto rendere inaccessibili i sistemi con cui gestisce il programma per riunire membri di famiglie separate, chiamato Restoring Family Links, sospendendo o rallentando le attività collegate. Come avevo segnalato mercoledì su Twitter, il Comitato ha anche diffuso una sorta di appello ai responsabili dell’attacco, chiedendo loro di non aggiungere sofferenza a persone già in difficoltà, diffondendo o vendendo i loro dati.
Diplomazia (e cyberwarfare) dei ransomware
Mentre vari esperti si stanno ingegnando per interpretare il significato e le ripercussioni dell’arresto di (parte?) della gang ransomware REvil ad opera dei servizi russi, l’FSB (di cui avevo scritto nella scorsa newsletter), proprio nel mezzo delle tese trattative sull’Ucraina, qualcuno si chiede se non si debba ormai parlare di una diplomazia dei ransomware. Cioè del fatto che in alcuni casi e contesti, come questo appena citato, la presenza, l’attività, i target di gruppi cybercriminali organizzati, e la loro eventuale repressione, non siano di volta in volta usati come messaggio in codice (perdonate il gioco di parole), leva per una trattativa, ma anche strumento di cyberwarfare (al di là dei ricavi economici). Quest’ultimo scenario è rafforzato da una serie di studi degli ultimi mesi, che mostrano un interesse crescente verso l’uso dei ransomware per suscitare caos o interferenza da parte di Stati come Iran e Cina (la Russia rientra già in questa lista almeno a partire dall’uso del wiper NotPetya nel 2017 in Ucraina, stando alle accuse ufficiali di Stati Uniti, UK, Australia, Canada, Estonia, Lituania, Danimarca). Per Allen Liksa, direttore della threat intelligence nella società Recorded Future, si tratterebbe ormai di un trend. “E se continua ad avere successo, si vedranno ancora più casi”, ha commentato a CyberScoop. Come già scritto nella scorsa newsletter, Microsoft ha segnalato l’uso di malware “distruttivi” (wiper) mascherati come ransomware contro organizzazioni ucraine nelle ultime settimane.
Europol sequestra i server di una VPN
Ma Stati Uniti ed Europa hanno da tempo dichiarato guerra al fenomeno ransomware. Una delle strategie utilizzate è colpire le infrastrutture impiegate dalle gang cybercriminali. In questo quadro si colloca una recente azione dell’Europol, l’agenzia europea per la collaborazione nelle attività di contrasto al crimine. Stiamo parlando del blocco delle attività di VPNLab.net, un fornitore di VPN che pubblicizzava pesantemente i suoi servizi nell’underground criminale e avrebbe avuto tra i clienti molti di questi gruppi ransomware. L’Europol, con un’azione coordinata di vari Paesi, ha sequestrato 15 server. Non sono stati annunciati arresti. Secondo l’agenzia europea, il servizio era offerto principalmente in forum e gruppi criminali ed era utilizzato da questi ultimi per connettersi alla loro infrastruttura. È la seconda azione del genere dopo che a giugno Europol e polizia olandese hanno sequestrato un altro servizio, DoubleVPN.
“Vogliamo mostrare che se i fornitori del servizio sostengono azioni illegali e non danno alcuna informazione alle richieste legali delle forze dell’ordine, non resteranno inespugnabili”, ha commentato il capo della polizia di Hannover, Volker Kluwe (Europol; Record)
Non è chiaro come abbiano sequestrato i server ma nel caso di DoubleVPN gli investigatori avevano detto di aver usato le loro “capacità di hacking per penetrare l’infrastruttura” della VPN.
CIFRATURA
Il governo UK lancia campagna contro la cifratura end-to-end
Se vi ricordate la scorsa settimana - in relazione alla decisione dell’app di messaggistica Signal di introdurre la funzione di pagamenti digitali attraverso una criptovaluta, MobileCoin, che vuole anonimizzare le transazioni - avevamo detto che molti esperti di privacy erano già preoccupati del tentativo di vari governi di limitare l’uso della cifratura forte (end-to-end, in cui solo mittente e destinatario, e nessun altro, hanno le chiavi per leggere la comunicazione). Bene: detto, fatto. Abbiamo subito una notizia che esemplifica quelle preoccupazioni.
Come anticipato da uno scoop di Rolling Stone, il governo UK sta lanciando una campagna pubblicitaria contro la cifratura end-to-end. Il governo britannico sta usando soldi pubblici (almeno 534mila sterline per quel che si è ricostruito finora) per convincere le famiglie d’Oltremanica che Facebook non deve estendere la cifratura end-to-end su Messenger (e Instagram). E poco importa che questa esista già sulla stessa app (si può attivare con le chat segrete), o che esista su Whatsapp (di proprietà di Facebook) Signal, Telegram, e altre app. Il problema per il governo di Londra è l’estensione di default della funzione su Messenger e Instagram. Dunque l’Home Office ha ingaggiato l’agenzia pubblicitaria M&C Saatchi per pianificare la campagna. Che sarà incentrata sui rischi per i bambini, scrive ancora Rolling Stone.
I gruppi per i diritti digitali sono però sul piede di guerra. “Senza una cifratura forte i bambini saranno ancora più vulnerabili”, ha commentato Robin Wilton, il direttore dell’Internet Trust all’Internet Society. “La cifratura protegge la sicurezza personale e la sicurezza nazionale… Quanto proposto dal governo mette tutti a rischio”.
Come ha commentato il tecnologo Benedict Evans, “la cifratura endtoend è probabilmente la sola questione in cui l’intera industria tech si schiera con Facebook. La reazione collettiva: “Santo cielo, dobbiamo spiegarlo di nuovo?”.
(Evans a dicembre ha pubblicato una interessante presentazione sul futuro dell’industria tech, detto per inciso).
Ma l’autorità per la protezione dei dati lo bacchetta
Tuttavia la critica più bruciante è arrivata dalla stessa authority britannica per la protezione dei dati personali, l’ICO. Per l’autorità la cifratura end-to-end protegge anche e proprio i bambini dal rischio che criminali o altri malintenzionati accedano a loro foto o a loro dati. (Guardian)
ITALIA
Una mappa delle telecamere cinesi in uffici e luoghi pubblici d'Italia
L’ha fatta Wired Italia che in una approfondita inchiesta scrive: “Tra musei, ministeri, tribunali, ospedali, vie, piazze, parchi cittadini, in Italia almeno 2.430 telecamere di videosorveglianza di Hikvision e Dahua, altro gigante cinese del settore, sono state acquistate tra il 2017 e il 2020 dalla pubblica amministrazione. (...) A spingere la diffusione delle telecamere cinesi negli uffici pubblici italiani è il bando per la videosorveglianza di Consip del 2017, che le adotta come prodotto”.
CALL CENTER/ITALIA
Anche i cellulari nel Registro pubblico delle opposizioni
“Il Consiglio dei ministri ha approvato la riforma del Registro pubblico delle opposizioni, che estende il diritto a non ricevere chiamate di marketing anche ai numeri di telefonia mobile (...) Già disponibile per i soli numeri fissi o indirizzi fisici, il servizio è accessibile dal sito ufficiale gestito dalla Fub. È possibile iscriversi via web, per telefono, tramite raccomandata o posta elettronica. Non appena la riforma sarà definitiva, con modalità simili si potrà inserire anche la propria utenza di telefonia mobile”, scrive Wired Italia.
EUROPA/ DIGITAL SERVICES ACT
Il Parlamento europeo approva la proposta del DSA, le nuove regole su big tech e contenuti online
È stato introdotto l’obbligo di poter bloccare il tracciamento pubblicitario dell’utente quando naviga online e sulle app. Prevista la possibilità, in caso di rifiuto del tracciamento, di accedere al servizio in un altro modo, ad esempio attraverso il pagamento del servizio o la visione di pubblicità non profilata sulle preferenze dell’utente. Divieto dell’uso di dati sensibili (orientamento sessuale, religione, politica) per la profilazione. Divieto di usare dati per profilare minori. Divieto di usare dark patterns, cioè elementi grafici e interfacce che spingano gli utenti verso specifiche scelte (come accettare una serie di condizioni).
“Un altro punto a favore della tutela dei diritti fondamentali è stato segnato difendendo la possibilità di usare servizi di messaggistica istantanea cifrati come quelli offerti, con gradazioni diverse, da WhatsApp e Signal”, scrive Wired Italia.
Ricordo che questa è la posizione del Parlamento. Ora la discussione passa ai governi.
ATTIVISMO
Iniziato il processo a Ola Bini
Negli scorsi giorni è iniziato in Ecuador il processo a Ola Bini, un attivista svedese per i diritti digitali che è stato arrestato nell’aprile del 2019 (poco dopo l’arresto di Julian Assange nell’ambasciata ecuadoriana a Londra; i due erano in contatto) con l’accusa di “accesso non consensuale a sistema informatico”. Da allora il suo processo è stato rimandato più volte, e sia la difesa che varie Ong denunciano molteplici irregolarità. Diverse organizzazioni per i diritti umani chiedono che gli sia garantito un giusto processo e ritengono che il suo caso rientri in una progressiva criminalizzazione di quegli attivisti per i diritti umani che lavorano nell’ambito della sicurezza informatica.
Vedi Article19.
APPROFONDIMENTI
Quanto sono sicuri gli strumenti di trascrizione usati dai giornalisti? Un’analisi di Freedom of Press
Perché Linkedin è così cringe (ma alla fine non così male). Un’analisi del suo algoritmo e business model (inglese) (Substack)
Guida pratica agli NFT (italiano) - 42LF
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter e un neonato profilo Instagram. Seguiteli! I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).