Guerre di Rete - Facebook leak: cosa succede ora

Whatsapp e NSO; le sanzioni per Solarwinds; dizionario di decodifica sugli incidenti

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.103 - 18 aprile 2021

Oggi si parla di:
- Facebook leak: arrivano domande, indagini e cause
- Facebook e il doppiopesismo sugli abusi da parte di Stati
- i dati? Li ha mangiati il gatto
- Whatsapp contro NSO, 1-0?
- le sanzioni Usa contro la Russia per Solarwinds
- Stati contro piattaforme: ce ne parla un nuovo libro
- e altro

FACEBOOK
Dopo il leak di dati, c’è chi fa domande, e chi fa causa
La Commissione per la protezione dei dati irlandese (su pressione della Commissione Ue) ha aperto un’indagine sul #Facebookleak di cui ho scritto la scorsa settimana, ovvero sulle circostanze che hanno portato alla diffusione (leak) delle informazioni personali di 533 milioni di utenti, tra cui molti europei - e moltissimi italiani (CorCom).
Dati che, ricordiamolo, includono numeri di telefono.

Il ruolo della vulnerabilità con cui sono stati presi i dati
Una delle questioni sul tavolo - sottolineata ad esempio da Wired US, ma anche dalla scorsa newsletter se l’avete letta - è che il genere di vulnerabilità usate per raccogliere tutti quei dati erano state segnalate più volte in passato al social. Ma erano state in qualche modo sottovalutate.
Addirittura un ricercatore aveva riferito anche una falla logica nelle impostazioni dei profili che avrebbe impedito agli utenti di proteggersi da un simile attacco. E che, considerate anche le date, potrebbe essere di interesse per i regolatori.
Infatti anche se un utente avesse deciso di blindare i propri dati (telefono ed email) rendendoli non visibili, non pubblici, scegliendo visibili “Solo a me” nelle impostazioni privacy, avrebbe potuto avere il suo telefono ricercabile attraverso la funzione “Chi può cercarmi”. Che è quella sfruttata dagli attaccanti per enumerare numeri telefonici sconosciuti e associarli attraverso quella funzione a una identità recuperando dal social anche dati aggiuntivi. Ora, non solo questa funzione minava alla base gli sforzi di privacy impostati dall’utente, ma fino al maggio 2019 il sistema non permetteva neanche di sopprimerla, dato che per questa non c’era la scelta “Solo me” tra le opzioni (c’erano a disposizione: Tutti, Amici degli amici e Amici). Ed era impostata di default su Tutti.
Oltre a ciò, come raccontato la volta scorsa, molte voci pubbliche hanno sostenuto di aver avuto tutte le impostazioni blindate e di non capacitarsi del perché i propri numeri di telefono siano comunque finiti nel leak. 

Una associazione vuole fare un’azione legale e chiede agli utenti di partecipare
Nel mentre l’associazione per i diritti digitali Digital Rights Ireland (DRI) ha annunciato di aver lanciato un’azione di massa per fare causa a Facebook, citando il diritto a compensazioni monetarie (risarcimenti) per violazioni di dati personali previsto dal Regolamento europeo sulla privacy (GDPR). Qualunque cittadino europeo che ha avuto i suoi dati (telefono) esposti nel leak può iscriversi qua sul sito dell’associazione.

Interessante che in una replica a TechCrunch su questa notizia, Facebook sminuisca ancora la rilevanza del data breach subìto paragonandolo a quelli apparsi negli stessi giorni relativi a Linkedin e Clubhouse, frutto di scraping dei dati (raccolta automatizzata fatta su dati online). Ma come è stato scritto qui e altrove, è da indagare quanto fossero pubblici e visibili quei numeri di telefono (in molti casi, lo abbiamo visto, non dovevano esserlo) e quanto abbiano pesato le vulnerabilità della piattaforma e delle sue funzioni, nonché del sistema di impostazioni, e dei ritardi con cui sono state rimediate, malgrado le segnalazioni. 

PROPAGANDA E MANIPOLAZIONI
Facebook accusata di trascurare gli abusi politici e governativi in alcuni Paesi
Restando ancora su Facebook, un’inchiesta del Guardian scrive che il social avrebbe trascurato importanti abusi da parte di politici e governi condotti sulla sua piattaforma in Paesi piccoli, poveri e non occidentali, concentrando invece i suoi sforzi sugli Stati Uniti o altri Paesi ricchi. In pratica l’azienda si sarebbe mossa con rapidità per ridurre manipolazioni politiche segnalate in Stati Uniti, Taiwan, Corea del Sud e Polonia, mentre sarebbe stata molto più lenta o avrebbe fatto poco e niente in casi verificatisi in Afghanistan, Iraq, Mongolia, Messico e in generale in America Latina.

Per l’attivista Jillian York, ci sarebbe poco da stupirsi del fatto che Facebook dia più importanza ad alcuni Paesi, ovvero ai mercati più importanti per il suo business. E dovrebbe investire molto di più per rendere la propria piattaforma più inclusiva (via The Protocol). 

Facebook si oppone alla proposta di mantenere i controlli anti-manipolazione usati per il 2020
E’ dunque interessante a questo proposito che il consiglio di amministrazione di Facebook, in vista della prossima assemblea degli azionisti prevista a maggio, si opponga a una proposta che vorrebbe ripristinare i controlli anti-disinformazione attuati sulla piattaforma in vista delle elezioni americane 2020. Secondo i proponenti, “per le elezioni americane del 2020, Facebook ha alterato con successo gli algoritmi e ha preso altre misure per declassare contenuti estremisti ed enfatizzare invece contenuti informativi mainstream”. Tuttavia ora l’azienda sembra voler ridurre o eliminare questi efficaci controlli pre-elettorali. I proponenti vorrebbero dunque che il consiglio di amministrazione prepari un rapporto per valutare il “mantenimento o reinserimento di queste misure mirate a ridurre l’amplificazione di informazioni false e polarizzanti”.
Ma, leggo nel documento inviato agli azionisti, il board suggerisce di votare contro la proposta.

Intanto una bordata arriva anche da dentro gli Stati Uniti dove il direttore dell’FBI Christopher Wray ha dichiarato che le aziende social sono diventate, in molti modi, “l’amplificatore chiave dell’estremismo violento domestico (interno)”, scrive il WSJ.

CYBERSICUREZZA E COMUNICAZIONE
I dati? Li ha mangiati il gatto
Vi ricordate quel compagno di classe (ce lo abbiamo avuto tutti) che al momento dell’interrogazione di matematica o latino si alzava in piedi e contrito sussurrava: “Prof, non ho potuto studiare…. le fotocopie… le ha mangiate il gatto...”? E tutti noi sentivamo un palpito di inquietudine mista però anche a malcelata ammirazione?
Mi è tornato in mente questa settimana dopo aver visto diversi articoli che discutevano il modo in cui a volte aziende e organizzazioni parlano pubblicamente di incidenti informatici (questo ad esempio di Politico). E così, ho deciso di redigere una lista di alcune delle spiegazioni date in questi casi. A volte - sia chiaro - sono proprio letterali, sono spiegazioni corrette. Ma alcune volte, specie quando tutto il contorno di informazioni latita, vanno un po’ decodificate.
E dunque ecco la mia lista con relativa decodifica:

  1. Non è un hack, è data scraping (maddai, erano dati pubblici, non lo sapevate? E poi tutti fanno data scraping! Del resto anche voi non li fate gli screenshot?)

  2. Non è un bug, è una feature (non è un baco, una vulnerabilità, una falla gigantesca che sta inondando tutti di melma, lo abbiamo fatto proprio così e ne siamo orgogliosi)

  3. Non è un leak, perché è roba vecchia (ok boomer, non sei aggiornato, questo è il nostro quindicesimo leak uscito due anni fa sul forum TheDarkestAndMostMisteriousWeb, e comunque ce lo aveva già segnalato l’hacker neozelandese AnonKiwi inviandoci un messaggio cifrato offuscato dentro un bacio perugina)

  4. Siamo stati attaccati da un threat actor altamente sofisticato (Sì c’è stato un hack, ma condotto da un soggetto sofisticatissimo, uno Stato-nazione sponsorizzato dalla Spectre con una catena di zerodays al collo che neanche il rosario di zia Assunta, insomma vorrei vedere voi con un attaccante così, e poco c’entra la nostra password 1234)

  5. Siamo stati presi di mira da un cyberattacco altamente sofisticato e stiamo facendo accertamenti (Ci siamo presi un ransomware arrivato a pioggia su tutta la penisola e ora abbiamo tutto cifrato e comunichiamo coi pizzini) 

  6. Il sito è inaccessibile a causa di sospetto DDoS (Abbiamo fatto un casino con l’erogazione del servizio appena si sono connessi in dieci, e lì abbiamo sospettato che ci fosse anche un attacco di negazione distribuita del servizio da parte di Anonymous United Reloaded)

  7. C’è stato un breach, ma non sul nostro network segregato (Qualcuno è entrato e si è preso un sacco di documenti, ma quelli veramente fighi stavano da un’altra parte, tiè, così per la prossima volta lo sapete)

Segnalo un po’ sulla stessa linea, ma in relazione all’AI e all’etica nell’AI, una lista di parole “decodificate” sul MIT Technology Review.

WHATSAPP VS NSO
Il produttore di spyware si dice immune ma i giudici non sono convinti
Sebbene se ne sia parlato poco sui media, in questi giorni c’è stato un passaggio importante in una causa che vede contrapposte Facebook/Whatsapp e il produttore di spyware israeliano NSO. Due anni fa Facebook ha fatto causa a NSO (lo avevo raccontato qua in newsletter), accusando la società di sfruttare una vulnerabilità nelle chiamate Whatsapp per inviare malware a 1400 apparecchi, una parte dei quali (un centinaio almeno, secondo ricercatori del gruppo Citizen Lab) sono stati ricondotti a giornalisti, attivisti, diplomatici e perfino funzionari governativi in diversi Paesi.

“NSO non nega che il suo spyware Pegasus sia stato usato per violare i telefoni delle vittime attraverso i server Whatsapp, ma sostiene di non essere responsabile di fronte a un tribunale americano perché avrebbe agito come agente di governi stranieri secondo la dottrina dell’immunità sovrana - una tesi respinta veementemente dalla società civile, e che è stata rigettata dalla Corte Distrettuale”, ha scritto tempo fa l’organizzazione Access Now che insieme ad altre Ong ha presentato un amicus brief (una memoria legale) a sostegno delle vittime di Pegasus. Però NSO aveva fatto appello.

Ora il tentativo di NSO di affossare la causa sembra essersi arenato proprio davanti a una corte di appello americana - scrive Politico in questi giorni - che è apparsa molto scettica di fronte alla richiesta del produttore di spyware di godere di una sorta di immunità sovrana per il fatto di vendere i suoi software a governi. Sebbene la battaglia legale sia ancora lunga e possa anche portare a un nulla di fatto, potrebbe tuttavia obbligare l’azienda a rompere quella cappa di segretezza con cui si è sempre fatta scudo di fronte a richieste di chiarimento di organizzazioni per i diritti umani, dopo che i suoi spyware sono stati trovati sui dispositivi di giornalisti e dissidenti.
Un dettaglio interessante emerso dall’udienza: i giudici hanno chiesto ai legali di Whatsapp se l’accesso non autorizzato ai server della app di messaggistica da parte di Pegasus siano avvenuti solo quando i clienti NSO conducevano gli attacchi contro i loro target, o anche nella fase di test di Pegasus. E Whatsapp avrebbe risposto in entrambi i casi (via Joseph Cox).

Quei servizi per cyberstalker per controllare quando sei online su Whatsapp
A proposito di Whatsapp, di sicurezza, privacy e dati che possono essere a disposizione di altri, in questa settimana è anche uscito un caso interessante. La società di cybersicurezza Traced ha pubblicato una ricerca che mostra come possa essere abusata la funzione di Whatsapp che mostra se siamo online, ovvero lo status che ci indica come online ogni volta che apriamo l’app. Questo indicatore è infatti una informazione pubblica e può essere usata da chiunque per costruire un servizio che controlli questo parametro, scrivono i ricercatori. Col risultato che sono nati dei servizi in cui puoi immettere il numero di telefono di chiunque e se quella persona usa Whatsapp il servizio ti dice l’esatta data e orario in cui la persona ha aperto l’app. Ma si possono anche inserire due numeri di telefono di due persone diverse, per vedere se la coincidenza di orari può far inferire che stiano comunicando. Un bel servizio per cyberstalkers, scrivono i ricercatori. Whatsapp ha poi bannato gli account usati da questi servizi, ne ha chiesto a Google la rimozione dal Play Store e ha mandato ai gestori delle lettere di diffida, scrive Motherboard.

SOLARWINDS
Gli Usa accusano la Russia e la sanzionano
Gli Stati Uniti hanno infine risposto alla campagna di cyberspionaggio Solarwinds, di cui qua si è scritto molto (e parlato, in un podcast). Un ordine esecutivo della Casa Bianca ha infatti preso provvedimenti contro una serie di attività digitali russe, e questi provvedimenti includono espulsione di diplomatici, sanzioni su individui, asset e aziende russe.
In particolare ora gli americani accusano ufficialmente i servizi segreti russi SVR di essere responsabili (attraverso una unità di hacking identificata da ricercatori come APT29 e vari altri nomi) del SolarWinds Hack, cioè della compromissione del software dell’azienda americana Solarwinds che è stato quindi usato come cavallo di Troia per infiltrare moltissime aziende e organizzazioni, a partire da una bella fetta di governo americano.
Ma i documenti accusano anche l’FSB russo (altro ramo dell’intelligence) di cooptare cybercriminali, inclusi i famigerati EvilCorp, responsabili di campagne ransomware di alto profilo.Tra le aziende sanzionate anche una grossa società di cybersicurezza russa, Positive Technologies. E poi ci sono le sanzioni per "i tentativi del governo russo di influenzare le elezioni Usa", e qui sono presi di mira "siti di disinformazione", la cerchia di Prigozhin, ovvero il finanziatore della Internet Research Agency (la cosiddetta fabbrica di troll), e un’organizzazione pachistana specializzata nella creazione di identità false.
Treasury; The Verge

RANSOMWARE
Nei Paesi Bassi una catena di supermercati è rimasta senza formaggio sugli scaffali a causa… di un attacco ransomware (che ha mandato in tilt un’azienda di stoccaggio e trasporti)
Bleeping Computer

RICONOSCIMENTO FACCIALE
La proposta Ue sulla regolamentazione dell’AI
In una bozza di regolamento della Commissione europea trapelata sui media “l'Ue stabilisce i parametri per l'uso dell'intelligenza artificiale in Europa: i sistemi ritenuti ad alto rischio per la sorveglianza di massa saranno vietati, ma sono previste importanti eccezioni per l'utilizzo della controversa tecnologia del riconoscimento facciale. (...) Nella bozza di testo l'uso di questi sistemi viene ammesso "per i governi e le autorità pubbliche dell'Ue per salvaguardare la sicurezza pubblica". Rientrano in questi casi la lotta contro il terrorismo e la tutela della sicurezza pubblica”, scrive Rainews
“L'Europa immagina anche super-sanzioni per le aziende che violano i divieti: pagheranno fino al 4 per cento del loro fatturato mondiale. Proprio come quelle previste dalla normativa europea Gdpr sulla privacy”, scrive Repubblica.

Garante privacy boccia il real time di Sari
Nel frattempo però il nostro Garante per la protezione dei dati personali “ha espresso parere negativo nei confronti della funzione “real time” di Sari, il sistema in uso alle forze dell’ordine che permette di identificare automaticamente un volto confrontandolo con le immagini di tutti i fotosegnalati in possesso delle autorità”, scrive Wired. “Sottoposto all’esame dell’Autorità, il sistema – non ancora attivo – consente, attraverso una serie di telecamere installate in una determinata area geografica, di analizzare in tempo reale i volti dei soggetti ripresi, confrontandoli con una banca dati predefinita”.
Per il Garante “(Sari real time) realizzerebbe per come è progettato una forma di sorveglianza indiscriminata/di massa”.

E vuole chiarimenti da ClearView
Il Garante ha anche chiesto chiarimenti all’azienda americana ClearView AI - che commercializza una tecnologia per identificare una persona confrontando una sua foto con un database di immagini raccolte da social e internet - “in merito alle modalità tecniche con le quali vengono gestiti e protetti i dati. In particolare, l’autorità vuole sapere se avviene una elaborazione di dati biometrici dalle foto trattate, se queste sono adeguatamente protette e se vi siano processi di decisione automatica dietro all’analisi dei volti”, scrive un altro articolo di Wired.

Proposta di moratoria

Infine, il deputato del Partito democratico Filippo Sensi ha depositato una proposta di legge per una moratoria sull’utilizzo dei sistemi di videosorveglianza biometrici nei luoghi pubblici (Wired)

APPROFONDIMENTI

GIORNALISTI INTERCETTATI

"Chi parlerà più con un giornalista se teme che il cellulare potrebbe essere intercettato, se il computer può essere forzato, se può essere obbligato a rivelare l'identità della fonte?", si domanda Zagrebelsky, in Giornalisti intercettati: negata la tutela delle fonti, un vero disastro per la libertà di informazione - Valigia Blu

LIBRI
Il 21 aprile esce Statosauri. Guida alla democrazia nell'epoca delle piattaforme (Quinto Quarto edizioni) di Massimo Russo.
E’ un libro molto attuale, perché affronta il tema del rapporto tra piattaforme e Stati, senza però schierarsi in una consolatoria difesa degli istituti nazionali, non nella attuale forma quanto meno. La crisi di identità politica (e degli elementi costitutivi degli Stati: territorio, sovranità e popolo), di cui il rapporto asimmetrico governi e piattaforme è più di tutto un sintomo, sta infatti ridefinendo i contorni stessi del lavoro, la geopolitica ma anche concetti chiave come giurisdizione, libertà di espressione, moneta, fiscalità, sicurezza. Tre i soggetti che si stanno giocando la partita in questa transizione burrascosa: Stati Uniti, Cina ed Europa. E, scrive Russo in quello che appare come un colpo di scena a metà di un giallo, è proprio l’Europa a essere nella posizione migliore per superare questa fase ed entrare completamente nel nostro tempo, quello della Net Age. Senza perdersi però a difendere rendite di posizione, ma “costruendo un’organizzazione, una struttura e una tecnologia politica all’altezza della contemporaneità, mutuando i propri comportamenti da quanto già fatto dalle piattaforme”, scrive l’autore. Provando dunque a cambiare le regole del gioco con le piattaforme a partire dalla questione dei dati. Sempre se ne sarà capace, viene da chiedersi, e certo è un grande se. Ma l’alternativa è il rischio che frammentazione e controllo statale finiscano col distruggere la Rete.

EVENTI (PER TECHIES)
Un evento live sull’architettura e la sicurezza del cloud Microsoft con un focus sulla componente Azure AD. Lo organizza l’associazione Cyber Saiyan mercoledì 28 aprile alle 21:15 qua su YouTube.

—> SOCIAL E PODCAST DI GUERRE DI RETE

Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter. Seguiteli!
I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm). Ogni due settimane circa esce anche Chat di Rete, podcast di interviste condotto assieme a Vincenzo Tiani.

→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.  La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista donatori).
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.