Guerre di Rete - L'oleodotto e il ransomware

E poi commenti falsi, e deepfake. Trump e i social.

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.105 - 09 maggio 2021

Oggi si parla di:
- il ransomware che ha portato al blocco dell’oleodotto
- commenti falsi e deepfake
- Trump e i social
- e altro

CYBERCRIME
Un ransomware ha colpito un distributore americano di carburante (che ha fermato la distribuzione)
Colonial Pipeline è uno dei maggiori distributori di carburanti nella East Coast americana (ne trasporta il 45 per cento nella regione) con 5500 miglia di oleodotti. Vittima di una campagna ransomware, un software malevolo che cifra i file sui computer e chiede un riscatto, ha dovuto interrompere anche la distribuzione per precauzione. A essere colpiti, secondo i primi resoconti e le dichiarazioni della stessa azienda, sono stati i sistemi informativi corporate, la rete aziendale, ma il timore era che gli attaccanti potessero accedere al network di controllo dei processi, ai sistemi di controllo industriale, diffondendo l’infezione. La chiusura temporanea ha bloccato grandi quantità di barili di diesel, benzina e cherosene nella Costa del Golfo.

Ci sono due ordini di problemi, in una situazione del genere. Il primo è che gli attaccanti possano accedere anche ai sistemi di controllo industriale con effetti molto più dirompenti (di qui la decisione dell’azienda di bloccare tutto); il secondo che dal sistema di controllo di Colonial Pipeline gli intrusi possano passare ai quelli dei fornitori che gestiscono i serbatoi di deposito, scrive Zero Day.

Il blocco (ribadiamolo: preso in via cautelativa dalla stessa azienda) dell’oleodotto è senz’altro notizia degna di nota. Tuttavia bisognerebbe stare attenti a non inquadrare subito l’evento come un atto “terroristico”, o a lanciarsi su interpretazioni spinte relative all’identità o alle motivazioni degli attaccanti, come ho visto in giro, in mancanza di dati ulteriori su quanto avvenuto. Chi segue questa newsletter sa bene che le campagne di ransomware sono un fenomeno persistente, in crescita, articolato, organizzato e nella maggior parte dei casi di natura criminale ed economica. Che negli ultimi anni ha colpito indifferentemente moltissime infrastrutture critiche, a cominciare dalla sanità e dagli ospedali, ma anche amministrazioni locali, aziende del settore energia, perfino forze dell’ordine, come abbiamo visto la scorsa settimana. Dunque, a meno di nuovi e precisi elementi che sostengano specifiche interpretazioni, per ora sembra di essere di fronte all’ennesima campagna di ransomware.

Secondo funzionari governativi americani, riferisce il NYT, “l’attacco sarebbe l’atto di un gruppo criminale”. Un gruppo che è stato individuato, sempre da fonti dell’amministrazione statunitense o vicine all’indagine, come DarkSide, entità cybercriminale collocata nell’Est Europa, scrive il WashPost. Gli attaccanti avrebbero anche esfiltrato 100 gigabytes di dati in due ore, riporta Bloomberg, minacciando di pubblicarli se non veniva pagato il riscatto, in uno schema noto come a doppia-estorsione, perché oltre alla cifratura dei dati e al blocco dei sistemi si aggiunge la minaccia del data leak. DarkSide è un gruppo attivo almeno dall’agosto 2020, e aveva perfino pubblicato i suoi “principi”, dicendo che non avrebbe attaccato ospedali. Gli oleodotti non rientravano evidentemente nel suo “codice d’onore”...

Tutto ciò ha comunque rinfocolato il dibattito sulle risposte da dare al fenomeno ransomware, sempre più in cima alla lista delle priorità di alcuni governi, a partire dall’amministrazione Biden. 
“Dunque un gruppo ransomware che riteniamo operare (e probabilmente protetto) dalla Russia ha bloccato una azienda che muove il 45 per cento della fornitura petrolifera della East Coast”, ha twittato Dmitri Alperovitch, ex CTO della società Crowdstrike. “E’ un atto criminale? Di sicuro. Ha enormi implicazioni di sicurezza nazionale, incluse le relazioni Usa-Russia? Indubbiamente”.

Ma le posizioni sono diverse. Per un altro noto ricercatore di sicurezza, come The grugq, non si può attribuire un’operazione del genere (criminale) alla Russia a meno che non sia “diretta dallo Stato”. Anche se c’è chi gli risponde che Mosca sarebbe come minimo responsabile di non prendere provvedimenti contro questi gruppi.

DISINFO/FAKES
Quei commenti falsi sulla net neutrality
Una inchiesta condotta dalla procuratrice generale di New York ha svelato che l’industria americana delle telco e dei fornitori di servizi internet ha pagato delle aziende di “marketing” per inondare di commenti falsi le richieste di contributi dal pubblico relative al dibattito sulla neutralità della rete e a sue eventuali modifiche. Oltre 8 dei 22 milioni di commenti ricevuti infatti dalla Federal Communications Commission nel 2017, commenti contro la net neutrality, erano taroccati, cioè inviati da persone inesistenti o decedute; oppure da persone reali ma ignare che i propri nomi e dati fossero usati in quel modo. Molti di questi utenti erano stati attirati su alcuni siti con delle gift card e avevano fornito le proprie informazioni. Le società ingaggiate avevano poi usato quei dati senza il consenso degli interessati per costruire e pompare una vittoriosa campagna contro alcuni principi della neutralità della rete (Vice), e i commenti a favore di questa modifica erano spesso citati a supporto della decisione, ricorda il NYT. Solo che appunto erano non solo falsi, ma frutto di una campagna coordinata.

Nota a margine: ci sarebbe anche uno studente di informatica di 19 anni che è riuscito invece da solo a sottoporre oltre 7 milioni di commenti a favore… A differenza della campagna pagata dall’industria, però, il giovane non ha impersonato cittadini esistenti, ma ha generato identità fittizie (Wired).

DEEPFAKES
Giovani vittime, quasi tutte donne, e giovani arrestati in Corea
In Corea del Sud la polizia ha arrestato 94 giovani sospettati di aver creato e diffuso contenuti deepfake illegali negli ultimi 5 mesi. Si tratta di video o immagini creati con tecnologie di intelligenza artificiale in grado di ritrarre persone che dicono o fanno cose mai avvenute. Dalla notizia, riferita dal KoreaTimes, si intuisce che si trattava di contenuti diffamatori o pornografici relativi a 114 vittime identificate, di cui 109 ragazze, perlopiù appena teenager o ventenni. Teenager anche il 70 per cento degli arrestati, mentre il 18 per cento erano ventenni o poco più.

DEEPFAKES
Cresce mercato criminale
L’uso malevolo dei deepfakes si sta spostando verso operazioni prettamente criminali. Lo sostiene un report della società americana di threat intelligence Recorded Future, secondo il quale nei mercati underground stanno crescendo richieste e offerte di questa tecnologia per aggirare sistemi di autenticazione nelle aziende, o per facilitare frodi attraverso finte foto, audio e video, riferisce Cyberscoop. Ad oggi la maggior parte dei deepfake è ancora fatta di pornografia non consensuale, come visto nella notizia appena sopra (tra il 90 e il 95 per cento, secondo la società di ricerca Sensity AI). La crescita del mercato criminale degli stessi potrebbe portare ad attacchi più sofisticati. A questo scenario si aggiunge un alert dell’FBI di un mese fa, secondo il quale i deepfake potrebbero essere usati più frequentemente anche in operazioni di influenza e disinformazione.

ROBOT, ETICA E SOCIETA’
Torna a cuccia, Digidog

La polizia di New York ha restituito l’ormai celebre cane robot ai suoi produttori, Boston Dynamics, prima del tempo, dopo una serie di proteste sul suo utilizzo. L’ultima polemica c’è stata poche settimane fa dopo che la polizia aveva portato con sé il robot durante un intervento all’interno di un edificio di abitazioni popolari ed era stata accusata di usare questo genere di strumenti in funzione repressiva e intimidatoria nei confronti delle comunità povere. Per l’utilizzo del robot fino ad agosto la polizia ha speso 94mila dollari, ma Digidog - come era stato chiamato -  è stato già rimandato indietro. Determinanti, nel cambio di prospettiva, le proteste contro gli abusi della polizia negli Stati Uniti e su un uso più appropriato dei fondi. Ma anche il richiamo fatto da molti osservatori a Metalhead, un episodio della serie distopica Black Mirror (NYT) (che poi in realtà è il contrario, nel senso che proprio Mealhead si è ispirata a quei robot)

UE/CYBER
Offline il governo belga per attacco DDoS

Gran parte del network IT del governo del Belgio è stato messo offline da un massiccio attacco di negazione distribuita del servizio (DDoS), che ha preso di mira Belnet, l’isp che fornisce connettività alla pubblica amministrazione belga. L’incidente avrebbe avuto un impatto su 200 agenzie e istituzioni, incluso il portale per la prenotazione dei vaccini. Secondo alcuni politici e commentatori belgi, l’attacco sarebbe iniziato in contemporanea con la riunione della commissione esteri del parlamento che doveva ascoltare le testimonianze di sopravvissuti uiguri ai campi di lavoro forzati in Cina. Tuttavia né Belnet né il governo hanno attribuito il DDoS a una specifica entità finora. - The Record

TRUMP
La Corte Suprema di Facebook restituisce a Zuck il cerino

Come sapete, è arrivata la decisione sulla messa al bando di Trump da Facebook da parte dell’Oversight Board, la cosiddetta Corte Suprema del social, composta da esperti di fama mondiale e incaricata di risolvere casi controversi di moderazione di profili e contenuti.
Bene, “la sospensione dei profili Facebook e Instagram di Donald Trump è confermata, per ora. Ma la palla torna nel campo del colosso di Mark Zuckerberg”, scrive Corriere. “Il board ha innanzitutto avallato il trattamento riservato da Facebook all’ex presidente degli Stati Uniti il 7 gennaio scorso, dopo l’assalto al Congresso: «Trump ha creato un ambiente in cui c’era un serio rischio di violenza». Era quindi giusto silenziarlo, come hanno fatto anche gli altri social, da Twitter — che ha bandito l’account personale di Trump a tempo indeterminato — a Youtube – che riammetterà l’ex presidente solo se considererà diminuito il rischio di incitamento alla violenza. Però: «La sospensione per un tempo indefinito non era appropriata», ma «vaga e incerta». Il board chiede a Facebook di esaminare di nuovo il caso e decidere entro sei mesi una sanzione proporzionata e coerente con le sue regole, che attualmente prevedono o la rimozione permanente o una sospensione a tempo determinato”.

Nel frattempo e in concomitanza Trump ha lanciato in pompa magna quello che doveva essere il suo nuovo social network. Ma la montagna ha partorito un topolino, e il nuovo social è in realtà un vecchio blog, cui l’ex-presidente affida messaggi brevi, in stile Twitter, nella speranza che siano commentati e ricondivisi sui social (cui non ha più accesso) dai suoi sostenitori.
“Difficile dire in questa fase se l’operazione avrà successo - scrive Alessio Jacona su La Stampa - “Solo su Twitter, al momento dell’espulsione, Donald Trump aveva quasi 88 milioni di follower, un pubblico enorme che lo seguiva e interagiva con lui anche e soprattutto perché i meccanismi complessi e articolati del social network (ben oliati da anni di evoluzione) consentivano e potenziavano questa interazione”.

Proprio Twitter (che ha bannato Trump permanentemente) ha raccolto pareri su come dovrebbe comportarsi rispetto ai leader mondiali: dovrebbe applicare le stesse regole che applica agli utenti comuni? Più permissive? Più severe? Ora sappiamo che ha ricevuto 49mila commenti in 14 lingue diverse. Vedremo più avanti che valutazioni trarrà da questi feedback (Reuters).

APPROFONDIMENTI

GIORNALISMO
The chilling: trends nella violenza online contro le giornaliste - report UNESCO (inglese)
I politici sono la seconda fonte di attacchi e abusi online, dopo gli attacchi anonimi o provenienti da sconosciuti. 

I reporter che si sono occupati di COVID? Non stanno bene (inglese) - Studyhall

BITCOIN
Cosa è successo quando è scomparso Satoshi Nakamoto?  - Bitcoinmagazine (inglese)

VACCINI
USA a favore della sospensione dei brevetti dei vaccini. E ora che succede? - Valigia Blu

ESTREMISMO
“In qualche modo Breivik è ancora lì fuori”: la globalizzazione del terrorismo bianco a dieci anni dal massacro di Utøya - Valigia Blu

EVENTI
“Grandi piattaforme digitali, lo scontro per il futuro della rete” - Live streaming 12 maggio - 360onTv

—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter. Seguiteli!
I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple PodcastsSpotifyGoogle PodcastAnchor.fm). Ogni due settimane circa esce anche Chat di Rete, podcast di interviste condotto assieme a Vincenzo Tiani.

→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.  La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista donatori).
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.