Guerre di Rete - Giornalisti "spiati" per un anno
Twitter, governi e libertà d’espressione. Europol e dati
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.123 - 6 febbraio 2022
Ricordo che questa newsletter (che oggi conta circa 10mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista degli oltre 500 donatori)
In questo numero si parla di:
Giornalisti e cybersicurezza
Twitter, governi e libertà d’espressione
Europa, piattaforme e regole
Europol e dati
E altro
GIORNALISMO E CYBERSICUREZZA
Giornalisti del WSJ spiati per un anno
Giornalisti del gruppo News Corp, e in particolare del Wall Street Journal, hanno avuto loro email e documenti compromessi da un non precisato attacco informatico al gruppo editoriale, scoperto il 20 gennaio e di cui ci sarebbero tracce che risalgono almeno al febbraio 2020. Questo vuol dire che per almeno un anno qualcuno è riuscito a leggere email e bozze di articoli di diversi reporter che scrivevano di temi come Taiwan, uiguri, regolamenti tech, amministrazione Biden-Harris, truppe e militari americani. Secondo la società di sicurezza Mandiant, chiamata a investigare il caso, esisterebbero elementi che portano a cyberspie al servizio di interessi cinesi, ma anche di questo aspetto (oltre evidentemente ai temi di interesse da parte degli attaccanti) abbiamo ben poco a disposizione al momento (The Verge). Sappiamo però che a essere compromessi sono stati soprattutto email e account Google Docs usati dai giornalisti (ma Google ha ribadito di non aver subito violazioni). Alcuni avrebbero avuto fino a una ventina di articoli/bozze “compromessi”.
Questa notizia riapre la tanto annosa quanto rimossa questione della sicurezza dei giornalisti (e delle loro fonti) in un tempo in cui sorveglianza, attacchi informatici, spyware rendono il lavoro giornalistico ancora più complesso e fragile di quanto già non fosse per la crisi dei media e il precariato.
Ma, come molte questioni sistemiche, non si può pensare di risolverlo delegando tutto alla buona volontà e capacità del singolo. Anche perché in molti casi l’attacco può andare dritto sul singolo, o passare direttamente attraverso il datore di lavoro. Qualcuno lo dica agli editori.
PIATTAFORME E LIBERTA’ D’ESPRESSIONE
India e Twitter ai ferri corti
Rahul Gandhi, tra gli esponenti di spicco dell’opposizione in India, ha scritto una lettera al Ceo di Twitter, Parag Agrawal, sostenendo di essere vittima di una campagna del governo indiano per limitare la sua influenza sulla piattaforma social. A supporto della sua tesi, il politico del partito del Congresso ha inviato una analisi dei dati relativi al suo profilo Twitter, che ha circa 19,5 milioni di followers, i quali sono cresciuti pochissimo per mesi dopo che lo stesso account era stato sospeso per 8 giorni ad agosto. Il WSJ ha fatto verificare i dati da due società specializzate secondo le quali effettivamente ci sarebbe stato un calo drastico: nei primi sette mesi del 2021 Rahul Gandhi guadagnava 400mila nuovi utenti al mese in media; mentre da settembre a dicembre questi sono scesi a 2500 al mese. Il politico sostiene anche di aver ricevuto conferma, da dipendenti di Twitter India, che il personale del posto sarebbe messo sotto pressione dal governo per “silenziare la sua voce”. Secondo esperti sentiti dal WSJ sarebbe possibile ridurre l’influenza di un profilo Twitter attraverso una pratica nota (e dibattuta da tempo) come shadow banning, che nel caso specifico includerebbe la rimozione dell’account dalle raccomandazioni o una qualche limitazione della sua visibilità. La replica di Twitter è che non fa alcun shadow banning, tanto più per motivi politici o ideologici, e che eventuali oscillazioni dipendono da aggiustamenti dei suoi algoritmi, specie quelli che cercano di limitare spam e bot.
Il problema è che tutto ciò avviene mentre da tempo il governo Modi ha aumentato il controllo su aziende tech straniere e social media. Lo scorso anno la polizia di Dehli aveva arrestato persone accusate di aver collaborato con stranieri a sostegno delle proteste contadine attraverso piattaforme come Whatsapp, Zoom e Google. La stessa Twitter aveva bloccato e sbloccato, con un’altalena di decisioni, molti account che twittavano sulle proteste. E sempre la polizia aveva “visitato” gli uffici di Twitter a New Delhi per indagare sulla decisione dell’azienda di mettere degli avvisi, delle etichette, usate per indicare contenuti fuorvianti, su alcuni tweet di un portavoce del BJP, il partito di governo.
Pochi giorni fa è poi uscito il rapporto sulla trasparenza di Twitter, dove risulta che proprio l’India ha presentato il maggior numero di richieste legali di rimozione di contenuti da profili di media e giornalisti. E in generale è in quarta posizione, dopo Giappone, Russia e Turchia, per il numero complessivo di richieste di rimozione. Infine, proprio in questi giorni, Reuters riferisce di colloqui molto tesi tra le autorità indiane e i rappresentanti di Twitter, Google, Facebook. Le società sono accusate di non essere proattive nel rimuovere fake news dalle piattaforme, obbligando il governo a richiedere rimozioni e a passare per censore….
Per qualcuno l’India è il canarino nella miniera di carbone - ovvero il primo segnale d’allarme (qui per saperne di più su questa immagine) - rispetto al futuro della libertà di espressione online.
Twitter contro la legge tedesca anti-hate speech
A questo proposito Twitter sta anche portando avanti un’azione legale in Germania contro la legge anti-discorsi d’odio online (che risale al 2018 ma che è stata più recentemente emendata e resa ancora più stringente). La ragione è che la legge, secondo Twitter, obbligherebbe le piattaforme social a condividere dati degli utenti con le autorità prima ancora che sia chiaro se abbiano commesso o no un reato, scrive Reuters.
Il Network Enforcement Act — noto come NetzDG — è entrato in vigore nel 2018 e richiese a piattaforme come Facebook e Twitter di rimuovere materiale potenzialmente illegale entro 24 ore da quando ricevono una notifica, pena una multa fino a 50 milioni di euro. Ora, una nuova versione del NetzDG è entrata in vigore il primo febbraio e “obbliga le piattaforme a passare i dati sui sospetti criminali alla polizia tedesca. La legge crea anche un nuovo dipartimento della polizia federale (BKA), con lo scopo di indagare più velocemente sui sospetti” individuati sui social media, scrive il FT. Tuttavia non solo Twitter ma anche Meta, Google e TikTok hanno promosso un’azione legale alla corte amministrativa di Colonia contro la legge, sospendendone per ora l’applicazione. Tutto ciò mentre in Europa si sta negoziando il Digital Services Act (DSA), la proposta di regolamento europeo con le nuove norme sugli intermediari online, votata il 20 gennaio dal Parlamento europeo, per poi essere discussa col Consiglio e i governi (Wired Italia).
Come funziona la censura online oggi, secondo gli Usa
L’agenzia statunitense che si occupa di commercio internazionale (International Trade Commission) ha pubblicato un rapporto sulla censura online dei governi. La prospettiva è economica e diplomatica, il taglio è il danno per il business americano provocato da queste pratiche censorie. Ciò detto, quello che ne esce è interessante perché il report analizza e descrive tali pratiche in alcuni Paesi e mercati chiave: Cina, Russia, Turchia, Vietnam, India e Indonesia. Quindi si tratta di Paesi in cui si identificano una serie di politiche e pratiche censorie ma che sono rilevanti anche in termini di mercato per gli Usa (altri Paesi ugualmente censori ma non rilevanti economicamente per gli americani non sono dunque presi in considerazione, come, cita lo stesso report, Uzbekistan, Kazakistan, e Azerbaijan).
Ne emerge un quadro complesso, in cui la censura online si realizza attraverso una molteplicità di soggetti statali, agenzie governative, ma richiede anche la collaborazione di attori non governativi, innanzitutto imprese private e aziende americane che operano in quei mercati. Si censurano argomenti politici, sociali, di sicurezza nazionale ma anche strumenti per evadere la stessa censura, come le VPN. Operativamente la censura funziona attraverso leggi e procedure che sopprimono la libertà di espressione online, e attraverso strumenti per intervenire con blocchi di internet, rallentamenti o blocchi di singoli siti, o col filtro di contenuti. Ma per facilitare queste stesse pratiche ci sono altre leggi o misure che sono adottate sempre di più e riguardano l’adozione di regole sugli intermediari online, obblighi per le aziende tech di localizzare dati e personale nel Paese, restrizioni sull’accesso al mercato da parte di stranieri. Se queste regole siano usate o meno per facilitare la censura dipende dal contesto, scrive il report. Che fa degli esempi: “Ampie definizioni di cosa siano i contenuti proibiti sono spesso associate anche a strette scadenze per le aziende internet, che devono identificare e rimuovere post vietati a fronte di ingenti multe se non si ottempera”.
Il rapporto nota anche come le aziende tech americane abbiano registrato un numero crescente di richieste governative di togliere contenuti. E come i governi agiscano su più livelli - con richieste di localizzare i dati fino alle minacce di ritorsione sui dipendenti del luogo - per fare in modo che le imprese di adeguino. Infine, nota come l’adozione da parte dei governi di tecnologie quali l’intelligenza artificiale per identificare e sopprimere in quantità contenuti online presenti sfide inedite.
(A leggere questo rapporto mi chiedo anche se non ci sia una componente che potrebbe tradursi nel parlare a nuora perché suocera intenda. Dove la suocera, in ottica americana, sia la controparte europea, considerate le trattative aperte sui nuovi regolamenti Ue e il ruolo delle grandi piattaforme Usa).
OLIMPIADI
Gli atleti si scoprono un po’ 007
I temi della sorveglianza e della cybersicurezza sono in qualche modo entrati anche nel mondo dello sport attraverso le Olimpiadi invernali di Pechino. Diversi comitati olimpici, dal Canada alla Germania, dall’UK ai Paesi Bassi, hanno avvisato gli atleti del rischio che qualsiasi dispositivo portato in Cina possa essere sorvegliato. “Si dovrebbe dare per scontato che ogni messaggio, email, visita online, e accesso ad applicazione possa essere monitorato o compromesso”, dice un avviso del comitato statunitense, che consiglia di usare dispositivi temporanei (Axios). E anche una nota dell’FBI suggerisce a chi viaggia di usare telefoni temporanei, di usare una VPN e di ricevere del training sul rischio di social engineering.
Curiosamente la nota dell’FBI cita anche il rischio che l’evento possa essere oggetto di cyberattacchi, ransomware, malware, campagne di DDoS (attacchi di negazione distribuita del servizio, che mirano a mandare offline siti e servizi). Un rischio - interpreto io - derivante perlopiù da gruppi cybercriminali o anche hacktivisti. L’FBI ricorda che le Olimpiadi invernali del 2018 furono attaccate da “attori cyber russi”. Tuttavia, considerata l’attuale vicinanza tra Cina e Russia, resa ancora più stretta dalle tensioni in Ucraina, scenari di questo tipo sembrano per ora poco probabili. Resta il fatto che questo genere di raccomandazioni, considerate già normali per diplomatici o settori umanitari, per la prima volta sono estese al mondo sportivo.
Per chi si trova nella bolla olimpica, nel circuito chiuso dedicato a chi partecipa ai Giochi, le autorità hanno smantellato il Great Firewall, il sistema che blocca l'accesso a una lunga lista di siti, inclusi Google, Wikipedia, Netflix e una serie di media stranieri, racconta Wired (anche se non è la prima volta che succede).
Nei giorni scorsi c’era stata invece un po’ di discussione su MY2022, l’app che i partecipanti devono usare per seguire e monitorare i protocolli anti-Covid, dato che un report dei ricercatori di Citizen Lab ne aveva evidenziato una serie di problemi di sicurezza. Un altro ricercatore aveva rincarato la dose accusando l’app di spiare attivamente gli utenti. Ma quest’ultima accusa è stata di fatto respinta dall’analisi di altri esperti infosec.
Nel mentre in Cina pare essere sparita l’app gay Grindr dagli store, dice il Guardian.
EU, DATI, PIATTAFORME
Più poteri a Europol con buona pace del garante europeo
Le istituzioni europee hanno riformulato il mandato per l’Europol, l’agenzia dell'Ue per la cooperazione nella lotta al crimine. Una delle principali novità introdotte è che con le nuove regole l’agenzia avrà più potere nel trattare una serie di dati. Se ricordate qualche settimana fa c’era stata una polemica perché il garante europeo per la protezione della privacy (Edps) aveva chiesto a Europol di cancellare una parte significativa di un enorme archivio di dati personali, dati che l’agenzia, secondo il garante, aveva accumulato illegalmente negli ultimi anni. L’agenzia avrebbe dovuto condurre un’analisi di questo archivio (valutando se e cosa fosse penalmente rilevante e cosa da cancellare) entro un anno. E avrebbe dovuto fare la stessa cosa, entro sei mesi, per dati nuovi ricevuti.
Ora invece, secondo il nuovo mandato, Europol manterrà quei dati accumulati, mentre su quelli nuovi avrà tempo 3 anni (18 mesi con possibilità di estendere di altri 18). E non sono previsti limiti al trasferimento di informazioni dai Paesi membri. La misura, scrive Wired Italia, “va a ridurre significativamente il ruolo di controllo del garante europeo, che verrà solo informato della raccolta dei dati e non potrà più esprimere valutazioni in merito”.
Molto duro il commento di alcuni parlamentari europei. “Che cosa fa la Commissione invece di affrontare l’elefante nella stanza e proibire la raccolta illegale di dati potenzialmente sensibili?”, ha commentato la socialdemocratica Brigit Sippel. “Legalizza retroattivamente qualcosa che era stato ritenuto illegale dallo stesso garante che ha insediato" (Euractiv).
Il comunicato della Commissione.
La lettera di associaizoni e ong che chiede di riconsiderare l’espansione dei poteri.
Eu verso l’identità digitale
Sempre restando in Europa, ora la Commissione spinge per un sistema comune di identità digitale, che vuole abbozzare entro l’anno. Si tratta di un progetto di un wallet (un'app) su cui archiviare le informazioni personali, “da condividere di volta in volta solo per lo stretto necessario con enti pubblici o aziende a seconda dei servizi”, scrive Wired Italia. “lI Garante europeo per la protezione dei dati, Wojciech Wiewiórowski, reputa che questo programma possa portare grandi benefici nel “controllo di come e con chi vengono condivise le informazioni” e nell'uso solo di quelle “strettamente necessarie a seconda delle attività”. Il garante tuttavia chiede di aver maggiore visibilità sui progetti concreti di sistemi di identità digitale, per verificare la corrispondenza tra principi e applicazione finale”.
A che serve il Digital Services Act
E sempre sull’Europa Valigia Blu ha scritto un approfondimento sul Digital Services Act: cosa prevede il testo del Parlamento europeo che “avrà il compito di regolamentare, tra le altre cose, la responsabilità per tutte le attività illegali online, da Facebook ai forum di discussione”.
Il senso degli americani per il Digital Markets Act
Intanto, nota Politico, gli Stati Uniti fanno pressione affinché l’altro importante pezzo di regolamentazione europea in cantiere, il DMA (Digital Markets Act), che affronta il tema della competizione nel mercato digitale, non si focalizzi solo su aziende americane ma includa anche quelle europee.
Nel mentre l’Ue cerca di farsi valere dove si discute di regole di internet
La Commissione presenta una strategia sugli standard tecnologici, sulle regole tecniche nel digitale e nel segmento green, per non soccombere all'attivismo di Pechino e dei colossi a stelle e strisce (Wired Italia)
APPROFONDIMENTI
STORIA DELLA RETE
“Un luddista - si dondolava sopra un filo di ragnatela. Riflessioni su open source, creative commons e sul capitalismo della sorveglianza”.
Cronistoria (con angolazione attivista e open source) degli ultimi decenni della Rete, scritta da Jolek78 (italiano) - Archive.org
DISINFO E PIATTAFORME
Il problema di Spotify non è (solo) la disinformazione di Joe Rogan (Valigia Blu)
WEB3
Come un’azienda, OpenSea, ha dominato la corsa agli NFT (The Verge)
METAETICA
Meta vuole lavorare a linee guida etiche per gli “influencer virtuali” (The Conversation)
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter e un neonato profilo Instagram. Seguiteli! I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).