Guerre di Rete - Intrusione nell'impianto dell'acqua

E poi riconoscimento facciale. Clubhouse e l'audio hype. Infrastrutture critiche colpite da ransomware. Nuovi sindacati nell'industria tech

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.96 - 14 febbraio 2021

Oggi si parla di:
- attacchi a impianti di trattamento dell’acqua
- cybercrimine e infrastrutture critiche
- Clubhouse, la privacy, gli altri e l’hype audio
- riconoscimento facciale
- alfabetizzazione digitale con lo spyware di Stato
- sindacati e tech
- e altro

—-> Intanto un aggiornamento sulla campagna di donazioni a Guerre di Rete (iniziata il 10 gennaio e attiva fino al 10 marzo):
- quasi a 13mila euro! (per la precisione, 12.945 euro raccolti - obiettivo era 5mila ma continuano ad arrivare donazioni, davvero grazie!)

I dettagli sulla campagna sono qua. Per donare qua (anche via Iban) o nel bottone sotto (via Paypal/carta).

Dona a Guerre di Rete



INFRASTRUTTURE CRITICHE E FRAGILI
Se una manina collegata via internet all’impianto dell’acqua aumenta la soda caustica
Quando si dice lunedì nero. Lunedì 8 febbraio Bob Gualtieri, sceriffo di Oldsmar, piccola cittadina di 13mila anime della contea di Pinellas, Florida, a 15 miglia da Tampa, ha l’ingrato compito, da dietro un leggio e un microfono, di gestire una conferenza stampa (VIDEO) cui assistono media nazionali e internazionali. Un evento a dir poco insolito, che ha portato in città anche l’Fbi e i Secret services. In piedi accanto a lui, con aria dimessa e un po’ spaesata, anche il sindaco e il city manager. Pochi giri di parole, lo sceriffo va subito al dunque.

Cosa è successo

“Venerdì 5 febbraio c’è stata un’intrusione illegale nei sistemi informatici dell’impianto di trattamento dell’acqua di Oldsmar”, esordisce. Si tratta di un impianto che rifornisce di acqua i residenti della cittadina, dopo un trattamento con sostanze chimiche per renderla potabile. Questo genere di impianti  - continua Gualtieri - fanno parte delle infrastrutture critiche del Paese e possono diventare un target per chi voglia colpire la sicurezza pubblica. Dopo questa premessa poco rassicurante, lo sceriffo prosegue fornendo i dettagli di quanto accaduto.

L’intrusione e la modifica dei parametri
Alle 8 del mattino di venerdì 5 febbraio un dipendente della struttura di trattamento dell’acqua ha notato che qualcuno aveva avuto accesso da remoto ai sistemi informatici che stava monitorando, sistemi che controllano le sostanze chimiche e altre operazioni dell’impianto. L’accesso era avvenuto attraverso un software di assistenza da remoto usato alcune volte dal suo stesso capo per svolgere delle attività, per cui a un primo momento il dipendente non ci ha prestato attenzione. Ma quando l’evento si è ripetuto di nuovo nel pomeriggio, l’uomo ha notato che chi era collegato, muovendo il mouse proprio davanti ai suoi occhi, stava in realtà aumentando la quantità di soda caustica nell’acqua, “un importante e potenzialmente pericoloso incremento”, ha specificato lo sceriffo. Per la precisione: da 100 parti per milione a 11.100 parti per milione. Un incremento che se avesse raggiunto la popolazione “avrebbe potuto provocare seri malesseri o fatalità”, scrive Ars technica.
L’operatore ha subito ripristinato i valori modificati da colui che ormai era evidentemente un pericoloso intruso e lanciato l’allarme. Poche ore dopo partiva un’indagine di Fbi e Secret Services. Lo sceriffo ha precisato che comunque nell’impianto erano presenti dei meccanismi di controllo, delle ridondanze che avrebbero individuato l’eventuale incremento nell’acqua anche qualora l’operatore non se ne ne fosse accorto in tempo reale.

Un attacco che ha sfruttato gravi vulnerabilità
Questa storia dalla contea di Pinellas ha fatto il giro del mondo, perché quel tipo di intrusione, in quel tipo di infrastruttura critica, con quelle possibili conseguenze (un aumento importante di una sostanza usata per regolare il ph ma che, superate certe soglie, diventa pericolosa), è l’incubo di molti esperti di cybersicurezza. Va subito detto però, alla luce di quanto emerso nelle ore successive, che l’attacco appare assai meno sofisticato di quanto si possa pensare. Una precisazione forse poco tranquillizzante ma importante.
Il problema è che la possibilità di intrusione sembra sia stata servita su un piatto di argento.

Come ha infatti spiegato un avviso sulla sicurezza emesso dallo Stato del Massachusetts sul caso specifico e le misure da adottare, “soggetti non identificati hanno avuto accesso ai controlli SCADA (sistemi informatici utilizzati per il controllo e il monitoraggio di processi industriali e sistemi infrastrutturali, ndr) dell’impianto di trattamento dell’acqua attraverso un software per l’accesso da remoto, TeamViewer, che era installato su uno dei diversi computer usati dal personale dell’impianto per condurre controlli sullo stato del sistema e rispondere ad allarmi o altre questioni che possono emergere”.
L’avviso prosegue spiegando che tutti i computer usati dal personale erano connessi ai sistemi SCADA e usavano Windows 7. E che “tutti i computer condividevano la stessa password per l’accesso da remoto e apparentemente erano connessi direttamente a internet senza alcun tipo di firewall”.

Ipotesi di un insider

Cosa vuol dire tutto ciò? Che la struttura aveva pratiche di sicurezza che lasciavano alquanto a desiderare (assenza di firewall, stessa password, uso di un sistema operativo per cui Microsoft non fornisce più aggiornamenti di sicurezza, ecc). E che in questo scenario non è da scartare la possibilità che si tratti di un ex dipendente, come ipotizzato ad esempio da Christopher Krebs, ex capo della CISA, l’agenzia federale per la sicurezza delle infrastrutture critiche e la cybersicurezza. Altri hanno pensato a un atto di “vandalismo”, ovvero il gesto inconsulto di qualcuno che sia riuscito ad ottenere un accesso.

Un problema annoso, specie per tante piccole infrastrutture locali
In realtà, come ha notato su Twitter la giornalista Kim Zetter, non sorprende che queste infrastrutture siano accessibili online, è anzi una questione annosa (vedi questa sua storia del 2012). E, come nota Brian Hogan del SANS Institute, molte organizzazioni usano soluzioni di accesso da remoto per permettere a staff e fornitori di lavorare da lontano, un fenomeno per altro incrementato dalla pandemia. Per questo, aggiunge, è tempo di rivedere le varie soluzioni per assicurarsi che siano configurate correttamente e che abbiano l’autenticazione multifattore.

Secondo vari osservatori, quello che fino ad oggi ha tenuto protette alcune di queste infrastrutture così esposte è il fatto che attaccanti di basso livello farebbero comunque fatica a districarsi nella complessità di quei sistemi interni. D’altro canto, attaccanti di alto livello (Stati) sanno fin troppo bene il rischio cui andrebbero incontro in operazioni di questo tipo (un’azione del genere, diversamente da campagne di spionaggio, e al di là del suo esito effettivo, potrebbe essere considerata un atto di terrorismo). Il che però non li esclude del tutto dallo scenario.

RANSOMWARE
Ransomware a due utility dell'energia in Brasile

Due importanti utility dell’energia brasiliane, Centrais Eletricas Brasileiras (Eletrobras) e Companhia Paranaense de Energia (Copel), hanno dovuto sospendere temporaneamente le operazioni amministrative a causa di un ransomware, un software malevolo con cui degli attaccanti cifrano i file e chiedono un riscatto. In almeno un caso ci sarebbe stato anche un data leak, una sottrazione e pubblicazione di dati dell’azienda. Non sarebbero state colpite le rete elettriche (Bleeping Computer).

Ospedale francese KO per ransomware
In Francia un ransomware ha colpito l’ospedale di Dax, bloccando tutto il sistema informatico e obbligando a tornare alla carta. In particolare agli abitanti della zona è stato detto di recarsi nel nosocomio solo per casi molto seri. L’ospedale non avrebbe più accesso ai file di alcuni pazienti (FrancetvInfo; Le MondeInformatique).

Colpiti i produttori di Cyberpunk 77
Non sono una infrastruttura critica (anche se alcuni fan potrebbero obiettare), ma un attacco ransomware ha colpito anche il produttore di videogiochi polacco Cd Projekt Red, autore di titoli come Cyberpunk 2077 e The Witcher 3: Wild Hunt. Come scrive Il Sole 24 Ore, “i cybercriminali affermano di aver avuto accesso al codice sorgente di Cyberpunk 2077 , Witcher 3, Gwent e una “versione inedita di Witcher 3, e minacciano di pubblicare queste informazioni insieme a documenti legali e finanziari nel caso non si giungesse a un accordo entro 48 ore. (...) L’attacco ransomware è l’ennesima tegola sullo sviluppatore dopo il travagliato lancio di Cyberpunk 2077. Il gioco tra i più attesi dell’anno scorso se non il più atteso è stato pubblicato con numerosi bug e problemi di prestazioni soprattutto sulle console meno recenti. Tanto che a poche settimane dal lancio Playstation ha deciso di ritirarlo dal suo store digitale”.

AUDIO HYPE
Il Garante si muove su Clubhouse
C’è un “audio hype” nel mondo dei social in questo momento? Nelle scorse settimane ho parlato di Clubhouse, il social network per conversazioni audio su cui avevo sollevato però alcuni dubbi sulla privacy, a partire dalla raccolta dei contatti in rubrica, e poi ancora avevo condiviso i dubbi espressi ad esempio dall’informatico forense Paolo Dal Checco sulla capacità dell’app di profilare i contatti fra le persone. Ora nei giorni scorsi il Garante italiano per la privacy ha inviato una lettera all’azienda con “una richiesta formale per accertarsi che siano rispettati i diritti dei cittadini europei, come prescrive il Regolamento generale comunitario per la protezione dei dati personali (Gdpr)” (Wired Italia).

Dubbi anche all’estero
Ma noto con interesse che il dibattito sta esplodendo anche a livello internazionale. A riassumere bene le questioni, e a esplicitare bene gli stessi dubbi qui espressi, è ad esempio Will Oremus, che tre le altre cose sottolinea: “L’app raccoglie almeno alcune informazioni sugli utenti che non stanno su Clubhouse, collegate al loro numero di telefono”, scrive Oremus. (...) E che “Clubhouse rende le connessioni più visibili di altri”.

Facebook e Twitter puntano a un loro Clubhouse
In attesa di vedere gli sviluppi, e mentre l’app vola in vetta alle classifiche delle più scaricate sull’App Store (ricordo che è ancora solo per iOS), Facebook sta già lavorando a qualcosa di simile, anche se ancora in una prima fase di sviluppo, secondo il NYT. Considerato il modo spregiudicato in cui in passato Facebook si è lanciata su nuove idee, prodotti e concorrenti, l’apparizione di Zuckerberg in una delle stanze di Clubhouse (di cui parlavo la volta scorsa) ricorda un po’ la visita di un facoltoso acquirente, indeciso se comprare la villa o guardarsi bene in giro per costruirsela da zero.
Ma anche Twitter sta progettando un concorrente, Spaces, come noto da mesi (e attualmente in beta). E a gennaio ha acquistato una società di social podcasting, Breaker, che appunto stava lavorando per rendere il podcast un’esperienza più interattiva e sociale, e che si integrerà nel nuovo progetto.

Tutti sul podcasting e i social audio
Non solo: anche l’imprenditore miliardario Mark Cuban ha in cantiere una app audio live chiamata Fireside, una sorta di piattaforma di podcasting di nuova generazione che dovrebbe favorire anche interazioni e conversazioni live, riferisce The Verge.
Nel frattempo la Cina ha bloccato Clubhouse, scrive TechCrunch. E comunque, l’app di stanze audio non convince affatto tutti (grosse questioni di privacy e raccolta dati e GDPR a parte). C’è infatti chi la ritiene una piattaforma che replica preesistenti strutture sociali, come scrive ancora Will Oremus.

Meno politica nei feed Facebook, più politica su TikTok
Vedremo se tutta questa voglia di conversazioni voce sarà un trend duraturo o piuttosto la temporanea e opportunistica scialuppa di salvataggio di una popolazione stressata dall’isolamento pandemico. Di sicuro, se c’è chi vuole incrementare le chiacchiere audio, c’è anche chi vuole diminuire la politica nei feed delle persone. A partire da Facebook. Che, iniziando da Canada, Brasile e Indonesia, per poi passare a Stati Uniti e altrove, farà vedere meno politica nel news feed degli utenti. Ovviamente non è ancora chiaro come. Per ora si sa che il social vuole esplorare una serie di modi per classificare i contenuti politici nei feed delle persone usando diversi segnali (Protocol).
Invece a diventare più politici sono i contenuti su TikTok che circolano fra utenti russi, molti postati da sostenitori dell’attivista e dissidente anti-Putin, Alexei Navalny(TechCrunch).

RICONOSCIMENTO FACCIALE
Cronaca di un sequestro annunciato: quello delle nostre facce
Uno studio ha esaminato 130 set di dati usati nelle tecnologie di riconoscimento facciale nel corso di ben 43 anni, set che includono 145 milioni di immagini su 17 milioni di soggetti. E ha evidenziato come questi dataset siano plasmati da “motivazioni politiche, norme correnti e capacità tecnologiche”. E come le applicazioni pratiche mostrino un tasso di fallimento ben più alto degli studi accademici. E come i ricercatori col tempo abbiano smesso di chiedere il consenso delle persone, spinti dalle esigenze di alimentare il deep learning, tecnica divenuta dominante nel settore, con grandi quantità di dati. Questo ha portato alla crescita del numero di individui le cui foto sono state incorporate in sistemi di sorveglianza a loro insaputa, oltre che all’aumento di set di dati eterogenei e di scarsa qualità, che possono cioè contenere foto di minori, o etichette razziste e sessiste, scrive la MIT Technology Review. Che commenta: “L’ultima generazione di riconoscimento facciale basato su deep learning ha completamente disgregato le nostre norme di consenso”.

Secondo lo studio, una delle spinte maggiori alla sviluppo del riconoscimento facciale arrivò inizialmente dal Dipartimento della Difesa americano e dal National Institute of Standards and Technology (NIST) che nel 1996 allocarono 6,5 milioni di dollari per creare il più grande dataset dell’epoca. “Il governo era interessato per il potenziale della tecnologia, che permetteva di sorvegliare senza richiedere una partecipazione attiva delle persone”, scrive Mashable.

Altro passaggio decisivo fu quando nel 2007 un set di dati chiamato Labeled Faces in the Wild raccolse immagini dal web, aprendo la strada alla raccolta via Google, Flickr, Youtube e altri siti di foto online. Un’operazione che ampliò la varietà di foto rispetto ai precedenti dataset basati sui ritratti, ma che portò a una perdita di controllo, divenendo ingestibile ottenere il consenso dei soggetti o registrarne la distribuzione demografica, o anche mantenere una qualità costante nei dati.

Altra pietra miliare fu la rivelazione da parte di Facebook, nel 2014, del modello DeepFace, il primo basato su deep learning (il ramo più avanzato del machine learning, basato su reti neurali artificiali organizzate in diversi strati): e allenato su un dataset interno composto da immagini tratte dai profili del social network.
Il quale mostrò come la raccolta di milioni di foto poteva creare un riconoscimento facciale più accurato rispetto a sistemi precedenti, rendendo il deep learning un pilastro di questa tecnologia.

Oggi il riconoscimento facciale non si limita a identificare una persona, ma può anche etichettarla con degli attributi, alcuni dei quali molto problematici, inappropriati o razzisti: si va da “doppio mento” a “naso grosso” (per indicare soggetti neri), fino a dubbie definizioni come “occhiaie” o addirittura “attraente”, ricorda ancora lo studio.

CINA
Riconoscimento razziale?
Il software di riconoscimento facciale sviluppato dall’azienda cinese Dahua, uno dei maggiori fornitori mondiali di tecnologia di videosorveglianza, verrebbe commercializzato come una tecnologia in grado di identificare la razza di persone riprese dalla videocamera e di allertare la polizia qualora in presenza di individui del gruppo etnico degli uiguri. A sostenerlo è un reportage del Los Angeles Times che avrebbe visionato direttamente guide e materiali della stessa azienda rivolti ai clienti. Dahua era già stata aggiunta nel 2019 alle Entity List statunitense (che impedisce a chi sta sulla lista di comprare prodotti americani) per i suoi legami con “violazioni dei diritti umani”, secondo il Dipartimento del Commercio.

Riconoscimento facciale, tecnologie biometriche, scoring algoritmico per gestire il controllo dei confini in Europa
Ma non pensiamo che queste applicazioni possano riguardare solo la Cina. Il dibattito è anche qua da noi, in Europa. La Corte di Giustizia europea avrebbe avuto a disposizione documenti finora tenuti riservati, che dimostrerebbero come una tecnologia a base di AI utilizzata in un progetto finanziato dall’Ue conterrebbe informazioni circa “caratteristiche etniche” delle persone sottoposte ai controlli, scrive Fabio Chiusi su Valigia Blu.  Programmi su cui sappiamo molto poco perché, scrive Chiusi, “evidentemente la trasparenza algoritmica, per le istituzioni europee, riguarda le piattaforme digitali molto più che i propri distopici programmi di ricerca”.

AI
L’industria dell’intelligenza artificiale ricalca ineguaglianze geografiche e sociali

“Mentre lo sviluppo dell’AI continua a progredire nel mondo, l’esclusione di quelle comunità che più probabilmente rischiano di portare il peso dell’ineguaglianza algoritmica è destinato a peggiorare”. Così uno studio sulla AI, che tra le altre cose evidenzia fenomeni come la concentrazione geografica dell’industria dell’intelligenza artificiale, ma anche della sua forza lavoro impegnata a etichettare dati (prevalenti Stati Uniti e India).
Venture Beat 

SORVEGLIANZA
Singapore, tracciate le attività online degli studenti
Il ministero dell’Istruzione di Singapore ha obbligato gli studenti delle scuole secondarie a installare software di accesso e tracciamento da remoto su tutti i laptop e device che rientrano in un programma di alfabetizzazione digitale nazionale, ma anche sui device personali di chi frequenta le lezioni online. I software permettono alla scuola e agli insegnanti di controllare la cronologia di navigazione degli studenti e vedere o chiudere tab che distraggono al fine di ridurre l’accesso a materiale discutibile, sia durante che fuori l’orario scolastico. Gli insegnanti possono anche ridurre il tempo in cui gli studenti possono stare online o usare il device. Il modello Singapore, ovvero uno spyware nel laptop. HRW - StraitTimes

TECH E LAVORO
Arriva il sindacato a Medium

Anche i lavoratori di Medium, piattaforma di blogging e contenuti a metà fra mondo tech e giornalismo, stanno creando un sindacato. (The Verge). Come raccontato in questa newsletter, il movimento verso la sindacalizzazione da parte di lavoratori dell’industria tech sta prendendo quota negli ultimi mesi.

Una legge contro il “bavaglio” degli NDA

In California una proposta di legge vuole dare ai lavoratori il diritto di parlare di abusi e discriminazioni, di qualsiasi tipo (ad esempio anche razziali, religiose o anagrafiche, e non solo sessuali come previsto attualmente), anche dopo aver firmato un NDA, un accordo di riservatezza. The Protocol

GEOPOLITICA, TECH E MEDIA
La Russia vuole regolare le aziende tech
Il 28 gennaio il Cremlino ha annunciato che il presidente Putin ha ordinato al governo di scrivere nuove leggi per regolare la aziende tecnologiche straniere che operano in Russia. Tra i possibili requisiti il fatto di dover aprire uffici sul territorio russo, scrive Slate. Che ricorda come Twitter, Facebook e Google non abbiano uffici in Russia.

APPROFONDIMENTI

QANON

La profezia del “Grande Risveglio” non si è avverata: il futuro di QAnon orfano di Trump Valigia Blu
Come QAnon si è infiltrata in gruppi yoga - Wired (inglese)
Come QAnon è diventata globale - The Take - Al Jazeera (PODCAST, inglese)
Come parlare a un complottista - The Take - AL Jazeera (PODCAST, inglese)

MINORI, SOCIAL E SPID
Minori e social media: la ricerca di soluzioni tecnologiche a problemi sociali e culturali Valigia Blu
Sarà il limite di età a bloccare l'uso improprio dei social network? - Wired Italia

Dona a Guerre di Rete


Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! O diventa un suo sostenitore facendo una donazione. E’ in corso una campagna per raccogliere fondi. La newsletter resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.