Guerre di Rete - Le verità su Encrochat
Cosa è emerso e cosa manca. Twitter e le difficoltà per chi fa ricerca.
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.165 - 2 luglio 2023
In questo numero:
- Speciale Encrochat
- Twitter, i social e le barriere ai ricercatori
- Class action contro OpenAI
- E altro
CYBERCRIME
Encrochat, un primo bilancio con ancora molti interrogativi
Nel luglio 2020 emerse sui media un’operazione di polizia internazionale in Europa che aveva compromesso in modo radicale, con un hacking massivo ma dai dettagli ancora oggi poco definiti, Encrochat, un fornitore di “telefoni sicuri” (degli Android modificati con applicazioni di cifratura ad hoc, e un servizio di gestione da remoto che prometteva assistenza e cancellazione sicura in emergenza), che secondo le autorità era usato in modo prevalente se non esclusivo da membri della criminalità per gestire i loro traffici (e che utilizzava “opachi canali di distribuzione, ben diversi da canali commerciali normali”, come hanno dichiarato gli inquirenti). A distanza esatta di tre anni, con una conferenza stampa, Europol, Eurojust e le autorità francesi e olandesi hanno dato ulteriori dettagli su tutta l’operazione e i suoi risultati (di cui avevo scritto al tempo qua in newsletter; e poi ancora in un approfondimento su Encrochat, e su come funzionavano i suoi dispositivi e altri servizi simili in questo articolo).
Il risultato delle indagini
E dunque stiamo parlando di più di 6.500 arresti in tutto il mondo e del sequestro di quasi 900 milioni di euro dopo tre anni di indagini. Ma anche del sequestro di 100 tonnellate di cocaina, 160 tonnellate di cannabis, tre tonnellate di eroina e di oltre 900 armi e migliaia di munizioni. Di 115 milioni di messaggi intercettati e analizzati.
“Le indagini sulla presunta condotta criminale della società che gestisce EncroChat sono state avviate dalla Gendarmeria nazionale francese nel 2017, dopo che i loro telefoni venivano regolarmente ritrovati durante le operazioni contro la criminalità organizzata”, scrive Europol. “Le indagini successive hanno stabilito che la società dietro lo strumento operava tramite server collocati in Francia. Alla fine, è stato possibile inserire un dispositivo tecnico per superare la crittografia e ottenere l'accesso alla corrispondenza degli utenti”. Ai francesi si sono uniti a un certo punto, nell’aprile 2020, gli olandesi (che hanno una notevole esperienza in questo genere di cose) con l’aiuto di Europol e Eurojust.
La procuratrice francese, Carole Etienne, che ha supervisionato l'indagine su Encrochat, ha dichiarato e sottolineato più volte in conferenza stampa che la natura del "dispositivo" utilizzato per accedere alle comunicazioni criptate (da quel che è emerso fino ad oggi, attraverso l’invio di malware sui dispositivi, ndr) sarebbe stata nascosta per motivi di sicurezza nazionale ma sarebbe stata condotta in conformità alle norme giuridiche applicabili, utilizzando una tecnica investigativa speciale conforme al Codice di procedura penale.
Christophe Husson, comandante in seconda della divisione cyberspazio della Gendarmeria, ha dichiarato che le soluzioni tecniche sviluppate per Encrochat saranno utilizzate in altre operazioni, con al centro lo scambio di criptovalute, e che ci sarebbero alcune indagini in corso.
Baudoin Thouvenot (Eurojust) ha poi affermato che l'operazione di infiltrazione in Encrochat, che contava oltre 60.000 utenti, avrebbe fornito alla polizia una mappa aggiornata della criminalità organizzata di alto livello, aiutando le autorità francesi a mappare la realtà del traffico di droga nei porti francesi.
Ancora non identificati tutti i gestori del servizio
I principali gestori di Encrochat non sono stati identificati pubblicamente ma si parla di una dozzina di persone.
"I principali leader della struttura, direttori, sviluppatori della soluzione, manager della logistica, del riciclaggio di denaro, rivenditori, sono stati identificati", ha annunciato ancora Étienne alla conferenza (seguita da Guerre di Rete).
L'indagine sui gestori è stata oggetto di un'inchiesta giudiziaria aperta nel maggio 2020 dalla Giurisdizione Interregionale Specializzata (Jirs) di Lille. "Una dozzina di persone sono interessate" da questo "dossier di base", per atti commessi in Francia, tra cui Roubaix, ma anche in Canada, Repubblica Dominicana, Spagna, Paesi Bassi, Regno Unito, Germania, Hong Kong e Panama, tra il 2017 e il 2021. In questa fase delle indagini, tre persone sono state incriminate per questo in Francia”, ha aggiunto Etienne.
Il focus dell’investigazione olandese è stata proprio sui gestori di Encrochat. Al riguardo la procuratrice olandese Renske Mackor ha dichiarato in conferenza che tre sospetti olandesi di medio livello (comunicavano tra il board e i resellers) sono stati arrestati nei Paesi Bassi l’anno scorso, con il processo previsto nel 2024. Il quarto sospetto olandese è attualmente in fuga, e investigatori francesi e olandesi gli stanno dando la caccia. “L’accusa nei loro confronti è partecipazione in una organizzazione criminale, riciclaggio e complicità in fatti criminali commessi dai loro clienti, e la complicità include gravi reati violenti come omicidio e traffico internazionale di droga”, ha dichiarato ancora Mackor. Nessuna risposta invece su quali fossero i Paesi in cui sono stati arrestati i 6.558 sospetti, fruitori del servizio.
Alcuni dettagli tecnici sull’operazione
Come detto sopra, la Gendarmeria nazionale francese ha iniziato a indagare su Encrochat nel 2017. Le indagini successive hanno portato alla scoperta dei server di Encrochat in un data center gestito da una società di cloud a Roubaix, in Francia.
“Gli investigatori sono riusciti a fare il reverse engineering della rete di 72 macchine virtuali di Encrochat utilizzate per gestire le chiavi di crittografia, analizzare i log, monitorare l'uso delle schede SIM e assegnarle al dispositivo giusto, configurare nuovi telefoni e gestire le chiamate vocali, il servizio clienti e altre attività - scrive ComputerWeekly - L'agenzia di intelligence francese DGSI ha messo a disposizione un impianto software, inviato ai telefoni sotto forma di aggiornamento, che inizialmente ha raccolto dati storici dalla memoria dei telefoni infetti, compresi i messaggi di chat memorizzati, le rubriche, le note e il numero IMEI univoco di ciascun telefono.
Nella seconda fase, l'impianto intercettava i messaggi di chat in entrata e in uscita e li trasmetteva a un server gestito dal Centro per la lotta al crimine digitale (C3N) della Gendarmeria a Pontoise, utilizzando in entrambe le fasi un "load balancer" (un servizio che distribuisce il carico di lavoro di un gruppo di server) compromesso nel data center di Roubaix”. Separatamente, la National Crime Agency (NCA) del Regno Unito aveva sviluppato un proprio impianto per penetrare Encrochat, che sfruttava un error logging software, ma sceglieva di non distribuirlo dopo che i francesi avevano sviluppato il proprio impianto.
Le questioni legali sollevate
In conferenza stampa i procuratori hanno criticato le notizie che mettevano in dubbio la legalità dell’operazione di hacking, indicando le decisioni dei tribunali nei Paesi Bassi e in Francia secondo le quali le prove ricavate potevano essere utilizzate nei procedimenti penali. Nella conferenza stampa la procuratrice Etienne ha fatto riferimento a uno specifico articolo del codice di procedura penale (706-102-1), secondo il quale può essere necessario predisporre un dispositivo tecnico il cui scopo, senza il consenso delle parti interessate, è quello di accedere, in qualsiasi luogo, a dati informatici, di registrarli, memorizzarli e trasmetterli, come ad esempio quando sono memorizzati in un sistema informatico, quando sono visualizzati su uno schermo, quando l’utente li introduce immettendo dei caratteri o quando sono ricevuti e trasmessi da periferiche.
A sua volta la procuratrice olandese Mackor ha citato una decisione della Corte Suprema olandese del 13 giugno, che ha stabilito che i tribunali nazionali possono legittimamente utilizzare il materiale raccolto dagli investigatori francesi da Encrochat (e da un altro fornitore di servizi simili, Sky ECC), seguendo “l’interstate principle of trust”, in base al quale le decisioni di autorità straniere che stanno alla base di indagini in altri Paesi dovrebbero essere rispettate dai tribunali olandesi.
La questione legale è in realtà molto complessa e spinosa e dipende anche dalle diverse giurisdizioni. “Ogni Paese ha un proprio sistema giuridico con regole distinte sui tipi di prove che possono essere utilizzate e sulle procedure che i pubblici ministeri devono seguire - scriveva mesi fa Wired UK - Per esempio, il Regno Unito non consente di utilizzare in tribunale le prove "intercettate", mentre la Germania ha requisiti elevati per consentire l'installazione di malware su un telefono. La sfida di più alto profilo finora è stata lanciata da alcuni avvocati in Germania. A ottobre, un tribunale regionale di Berlino ha inviato la questione alla Corte di giustizia dell'Unione europea (CJEU)”.
In realtà a maggio in UK la National Crime Agency (NCA) ha ottenuto una prima vittoria legale al riguardo, anche se molti aspetti della questione restano irrisolti.
In Francia ci sono state due sentenze che hanno in parte validato l'acquisizione dei dati di Encrochat.
La questione principale è: i dati ottenuti da questa operazione di "hacking" possono essere legittimamente utilizzati come prova? Tanto più che le autorità francesi hanno nascosto i dettagli tecnici per motivi di "segretezza della difesa nazionale" e gli avvocati dei sospettati hanno sostenuto di non aver potuto verificare l'affidabilità dei dati.
”I dettagli tecnici sul funzionamento del software trojan e sulla memorizzazione, assegnazione e filtraggio dei dati da parte delle autorità francesi e di Europol non sono noti. Il funzionamento del software trojan è fondamentalmente soggetto al segreto militare francese", scrivevano i giudici tedeschi.
Tuttavia, “in linea di massima, le sentenze hanno ritenuto le informazioni fornite sufficienti per l'utilizzo dei dati”, commenta un’analisi legale del caso francese.
Questi sistemi “sicuri” possono essere anche una debolezza per i criminali, ha commentato al termine della conferenza stampa Jean-Philippe Lecouffe (Europol), “se possiamo attaccarli come nel caso Encrochat, dove - dal momento in cui siamo riusciti ad avere una visione sugli scambi - quello che stava nell’ombra è stato improvvisamente illuminato”.
TWITTER
No login, no tweet
Twitter ha disabilitato la possibilità di visualizzare i contenuti senza aver effettuato il login. È probabile che questa sia la fine di molti strumenti OSINT che si basavano sullo scraping non autenticato e/o sull'accesso gratuito alle API, scrivono alcuni ricercatori, e i commenti non sono positivi.
L’attrito per la ricerca sulla disinformazione aumenta ancora, nota un altro ricercatore.
Il riferimento è anche alla modifica dei piani per accedere alle API di Twitter, adottata alcuni mesi fa, e alle conseguenze. Ne scriviamo proprio questa settimana sul sito Guerre di Rete.
La decisione di Twitter di far pagare l’accesso ai suoi dati preoccupa giornalisti e ricercatori. E il trend è generale, scrive Alberto Cantoni.
“Nel corso degli ultimi diciassette anni, la politica “free API” di Twitter ha contribuito a smascherare operazioni di influenza e ingerenza a livello internazionale. Ne è un fulgido esempio il caso legato alla Internet Research Agency (IRA) russa, la cosiddetta fabbrica di troll gestita da Yevgeny Prigozhin, l’oligarca e capo del gruppo Wagner, la compagnia militare privata di cui si è molto parlato negli ultimi giorni dopo l’abortita marcia su Mosca. L’IRA è stata spesso accusata di aver cercato di interferire attraverso campagne sui social e profili finti nella politica degli Usa e di altri Paesi, incluse le elezioni statunitensi del 2020 e la guerra in Siria. (...)
"Di fronte a questo scenario i ricercatori stanno suonando un allarme. “Se utilizzate i dati dei social media per le vostre ricerche, vi conviene ascoltare, perché abbiamo raggiunto un punto di crisi. L’accesso ai dati digitali è sopravvissuto per anni in un flusso scomodo e imprevedibile, ma la più recente ondata di cambiamenti politici potrebbe essere esistenziale”. Così scrivono gli organizzatori di una conferenza prevista ad ottobre negli Usa il cui fulcro sarà proprio “The Post-#API Conference: Social media data acquisition after Twitter” (La conferenza post-API: l’acquisizione di dati dai social media dopo Twitter)."
Leggi: I social stanno rendendo più difficili le indagini su crimini e disinformazione
Non solo: mentre esce questa newsletter Twitter ha annunciato un limite al numero di tweet giornalieri che possono essere visualizzati da un utente: per gli utenti “non verificati” è di 600 post. Moltissimi i commenti del genere: “Musk sta uccidendo Twitter”.
AI
Class action contro OpenAI
Uno studio legale californiano ha avviato una class action contro OpenAI, sostenendo che l'azienda di intelligenza artificiale che ha creato ChatGPT avrebbe violato in modo massiccio i diritti d'autore e la privacy di innumerevoli persone quando ha utilizzato dati raccolti (scraped) da Internet per addestrare la sua tecnologia.
Alcuni sviluppatori di AI hanno sostenuto che l'uso di dati provenienti da internet dovrebbe essere considerato "fair use", un concetto della legge sul copyright che consente un'eccezione se il materiale viene modificato in modo "trasformativo", scrive il WashPost, aggiungendo che si tratta di una questione aperta. “Gli artisti e gli altri professionisti creativi che possono dimostrare che il loro lavoro protetto da copyright è stato utilizzato per addestrare i modelli di intelligenza artificiale potrebbero avere un'argomentazione contro le aziende che lo utilizzano, ma è meno probabile che le persone che hanno semplicemente postato o commentato su un sito web possano ottenere un risarcimento”, ha commentato un avvocato. La causa si aggiunge alla crescente lista di sfide legali mosse contro aziende di AI generativa.
ITALIA
Cosa sappiamo dell'attacco cyber al ministero delle Infrastrutture e dei trasporti
È stato rivendicato su Telegram da un collettivo pro-Russia: rubati documenti di appalti dell'area Nord-est. Finora niente riscatto, scrive Wired Italia.
EU
Perché Zalando si ribella alle regole europee sul digitale
Secondo la piattaforma di ecommerce tedesco, le norme del Digital services act non si applicano ai suoi servizi. E deposita un ricorso contro la Commissione. Segno che per le politiche digitali di Bruxelles si prospettano tempi duri Wired Italia
APPROFONDIMENTI
IT-ALERT, spiegato bene
Il primo test su scala regionale del nuovo sistema di allarme pubblico
“IT-alert” manda un avviso sugli smartphone quando ci sono pericoli meteorologici o di altro tipo: sarà operativo dal 2024. Spiega tutto bene Il Post.
EVENTO
Uscito il programma della conferenza di cybersecurity #RomHack (dove avrò il piacere di introdurre i vari speaker, a cominciare dal keynote della fantastica Kim Zetter, e moderare la tavola rotonda). Ci vediamo a Roma a settembre. Il sito di RomHack.
LIBRO
Appena uscito il libro Black Box. Sicurezza e sorveglianza nelle nostre città, di Laura Carrer, giornalista (e anche nostra autrice sul sito Guerre di Rete), che affronta in modo critico le questioni sollevate dalla pervasività del controllo biometrico.
AI
Essere nel mirino di deepfake a causa del proprio ruolo pubblico. Lo racconta Nina Jankowitz su The Atlantic.
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Non sei ancora iscritto? Iscriviti qua, è gratuita.
—> INFO SU GUERRE DI RETE
Guerre di Rete è un progetto di informazione sul punto di convergenza e di scontro tra cybersicurezza, sorveglianza, privacy, censura online, intelligenza artificiale, diritti umani, politica e lavoro. Nato nel 2018 come newsletter settimanale, oggi conta oltre 12.000 iscritti e da marzo 2022 ha aggiunto il sito GuerreDiRete.it.
Nell’editoriale di lancio del sito avevamo scritto dell’urgenza di fare informazione su questi temi. E di farla in una maniera specifica: approfondita e di qualità, precisa tecnicamente ma comprensibile a tutti, svincolata dal ciclo delle notizie a tamburo battente, capace di connettere i puntini, di muoversi su tempi, temi, formati non scontati.
Il progetto è del tutto no profit, completamente avulso da logiche commerciali e di profitto, e costruito sul volontariato del gruppo organizzatore (qui chi siamo). Non ha sponsor né pubblicità, né aziende o lobbies alle spalle.
Ha anche una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter li trovate sulle principali piattaforme ma attualmente sono in pausa (Apple Podcasts; Spotify; Google Podcast; Anchor.fm)