[Guerre di Rete - newsletter] Assange e il giornalismo; spaghetti spyware; Huawei; app e sicurezza; e altro

Guerre di Rete - una newsletter di notizie cyber

a cura di Carola Frediani
Numero 36 - ​26 maggio 2019

Oggi si parla di:
- le nuove incriminazioni di Assange e il giornalismo
- spaghetti spyware
- Huawei e geopolitica
- sicurezza e app
- Tor
- donne e tech
- ransomware e città
- e altro

ASSANGE
Perché l’Espionage Act cambia tutto
Come molti sospettavano, il Dipartimento di Giustizia americano ha aggiunto nuovi capi di imputazione contro Julian Assange, dopo il primo presentato qualche settimana fa che accusava il fondatore di Wikileaks di aver commesso un crimine informatico - provando ad aiutare la sua fonte, Manning, a violare una password (senza successo). Ne avevo scritto ampiamente qua (arresto e conseguenze) e qua (cosa diceva l’affidavit e lo scenario in Ecuador).
Ma come alcuni temevano, tra cui la stessa Wikileaks (anche se in tanti pensavano che sarebbe stata un’ipotesi improbabile perché azzardata, poi vedremo perché), i nuovi 17 capi di imputazione si basano sull’Espionage Act, la legge sullo spionaggio del 1917 mai usata fino ad oggi contro un giornalista (usata in passato solo contro i leakers). Che ora potrebbe costare ad Assange fino a 175 anni di carcere.
E che soprattutto si scontra frontalmente con il Primo Emendamento il quale protegge la libertà di informazione e il giornalismo in America, anche quando tratta temi di sicurezza nazionale e documenti classificati (e che, attenzione, dovrebbe prevalere sull’Espionage Act se si dimostra che la questione rientra nel Primo Emendamento, cioè se si ha a che fare con la libertà di informazione. Tuttavia lo scontro non c’è mai stato, non c’è mai stato un match nelle aule di tribunale, perché mai il governo Usa era arrivato a metterlo alla prova incriminando un giornalista o uno che ha fatto del giornalismo – ai fini del Primo Emendamento essere o meno giornalista non conta).
Valigia Blu (Fabio Chiusi) fa una analisi dettagliata dei vari capi di imputazione, e delle varie implicazioni.

Qui mi interessa sottolineare sinteticamente alcuni punti.
1) Cosa dice a grandi linee l’accusa?Traduco o parafraso frasi scritte nell’incriminazione (che trovate qua):
-Assange e Wikileaks hanno incoraggiato ripetutamente fonti con accesso a informazioni classificate (riservate e segrete) a rubarle e darle alla stessa Wikileaks affinché le rivelasse;
- Manning ha risposto alle richieste di Assange rubando documenti classificati;
- Assange ha incoraggiato Manning a continuare e l’ha aiutata a craccare una password;
- Manning, sotto la guida di Assange, ha continuato a rubare documenti classificati;
- Assange, gli affiliati di Wikileas e Manning avevano il comune obiettivo di sovvertire le restrizioni legittime sui documenti classificati e pubblicarli;
- Assange ha rivelato nomi di fonti del governo Usa (pubblicando alcuni documenti che li contenevano) mettendo a rischio la loro vita (e lui lo sapeva)
(Nota en passant: in tutta la vicenda e l’incriminazione si parla sempre e solo dei documenti ottenuti e passati da Chelsea Manning e relativi ad alcuni dei più importanti scoop giornalistici (ripresi da tutti i media) sulla guerra in Iraq, in Afganistan, Guantanamo ecc. Tutta la vicenda controversa del ruolo di Wikileaks nella pubblicazione dei documenti hackerati dei Democratici nel 2016 non c’entra nulla).

2) “Ma non è un attacco al giornalismo”: la capriola del Dipartimento di Giustizia
Se notate una certa ricorsività nelle accuse è perché in effetti il Dipartimento di Giustizia Usa gira e rigira attorno ad alcuni concetti per evitare di sfondare come un ariete la sottile parete del giornalismo. Il primo capo di imputazione presentato settimane fa (quello per aver provato a violare una password, quindi non violazione dell’Espionage Act ma della legge sui crimini informatici) oggi appare come il puntello (anche d’immagine: si apre un varco con quella più indifendibile per distanziare Assange dal giornalismo e dopo un po’ si scaricano le altre che lo avvicinano) su cui costruire la tesi di un Assange procacciatore attivo di leaks, di furti di dati classificati. Ma questa spericolata costruzione (forte del fatto che nessun giornalista responsabile o anche solo sano di mente si metterebbe a craccare password per accedere o far accedere qualcuno a sistemi governativi) accatasta una serie di elementi che finiranno col crollare addosso a tutti i giornalisti.

Per capirci, la posizione del governo americano sarebbe la seguente:
- le accuse si basano soprattutto sul presunto procacciamento/incoraggiamento di leaks da parte di Assange/Wikileaks; sulla presunta cooperazione tra Assange e Manning; sulla pubblicazione di nomi di individui/informatori. Non sulla pubblicazione di per sé di documenti classificati (salvo poi farla rientrare dalla finestra quando introducono tra le accuse proprio la pubblicazione di documenti non censurati, non redacted). Inoltre - è la tesi del governo - Assange non sarebbe un giornalista e quello che ha fatto non rientrerebbe nelle attività del giornalismo (e i giornalisti possono pure stare tranquilli).
Ovviamente non stanno tranquilli manco per niente.

3) La reazione (compatta) della stampa americana
Infatti la posizione della maggior parte degli osservatori è che questa incriminazione spiani la strada a quella di giornalisti investigativi e di sicurezza nazionale. Al di là di tutti i difensori della libertà di informazione o dei diritti civili (EFF, Press of Freedom, ACLU ecc ) la cui posizione è forse scontata, ora è proprio la stampa mainstream americana a scendere in campo a favore del mai amato Assange (al punto che la sua reazione compatta diventa essa stessa notizia – vedi Daily Beast).
New York Times, Washington Post, Usa Today, WSJ, Time, NBC e molte altre testate sono chiare nel condannare questa mossa del Dipartimento di Giustizia. L’incriminazione di Assange “potrebbe stabilire un precedente che considera criminali le azioni legate all’ottenimento, e in alcuni casi anche alla pubblicazione di segreti di Stato”, scrive il NYT.
Si è oltrepassata la linea rossa, dice dal suo canto Margaret Sullivan, del WashPost.
Il fatto che Assange piaccia o meno, o che sia da considerarsi un giornalista o meno, non conta, sottolinea la rivista Time, perché alla base di questa incriminazione c’è la criminalizzazione del giornalismo, del fatto di ricevere o pubblicare informazioni classificate. E c’è la volontà - come già iniziato dai precedenti presidenti - di applicare l’Espionage Act in modi più ambiziosi, di estenderne il raggio d’azione in un’era di frequenti leaks.

“Questi [nuovi, ndr] capi d’accusa vanno molto oltre”, scrive il WSJ, per niente affezionato ad Assange. “I procuratori ora dicono che Assange ha violato la legge perché ha “sollecitato” e “incoraggiato fonti” a passargli materiale classificato (…). O “che abbia violato l’Espionage Act solo per il fatto di aver pubblicato queste informazioni, non “redatte”, su internet. Il problema è distinguere questa attività da quello che i giornalisti fanno tutti i giorni. Reporter coscienziosi non cospirerebbero per violare una password. Ma chiedono alle fonti di fare luce sulle malefatte del governo, il che può includere la richiesta di materiale classificato e la sua pubblicazione. Dunque il Dipartimento di Giustizia come distinguerà tra Assange e l’Associated Press?”.

“17 dei 18 capi di imputazione presumono violazioni dell’Espionage Act, oltrepassando un Rubicone costituzionale”, scrive a sua volta NBC. Che prosegue: il fatto che le accuse ad Assange riguardino la ricezione di informazioni classificate o aver in qualche modo facilitato i leaks, ci porta su una linea d’ombra fra quello che ha fatto Assange e quello che fanno anche i giornalisti più responsabili. Se verrà estradato (e NBC ha dubbi al riguardo con queste accuse, e non sono gli unici ad averne come vedremo), il suo caso metterà alla prova il Primo Emendamento. E poiché la figura di Assange è molto controversa e odiata in America, il rischio è che il Primo Emendamento ne esca a pezzi e con esso tutto il giornalismo (ho liberamente sintetizzato NBC, ma il succo è questo).

Se pensate che non ci siano somiglianze fra quello che fa Wikilekas e quello che fanno oggi i giornali, a rimettere le cose in prospettiva ci pensa la testata POLITICO. Che così scrive: “Se sollecitare leaker e aiutarli a passare informazioni è il nuovo standard dell’Espionage Act, allora AP, Forbes, il Guardian, il New York Times, POLITICO e il Washington Post e altre pubblicazioni che pubblicizzano il loro indirizzo SecureDrop (un sistema per ottenere documenti in modo anonimo, esattamente come faceva e fa Wikileaks, ndr) per ricevere informazioni da whitsleblower devono essere nei guai”.

4) Perché l’amministrazione Obama non aveva usato l’Espionage Act
Interessante il retroscena del Washington Post. Nel team dell’accusa c’era chi non voleva assolutamente perseguire questa strada (Espionage Act), perché era stata abbandonata dall’amministrazione Obama “dato che la condotta di Assange era troppo simile a quella dei reporter di media consolidati”. E perché non era emerso nulla di nuovo sul caso rispetto all’era pre-Trump. Non solo: per gli esperti sentiti dal WashPost ci sono buone possibilità che ora l’estradizione dall’UK possa essere rifiutata. (Domanda: ma anche se così fosse in UK, cosa succederebbe se dall’UK fosse estradato in Svezia per le accuse di stupro? Visto che anche questo Paese è tornato in gioco, vedi sotto).
L’amministrazione Trump, sostengono alcuni esperti di Primo Emendamento al WashPost, sta riscrivendo l’equilibrio legale tra segretezza del governo e libertà di informazione, quell’equilibrio stabilito dalla Corte Suprema nel 1971 con i Pentagon Papers. E sta mescolando il confine tra stampa e leaker allargando la definizione di complicità.
(Su Primo Emendamento e Espionage Act: segnalo l’articolo di The Conversation secondo il quale è l’accusa di aver pubblicato nomi di informatori la più forte, quella che potrebbe trovare fondamento costituzionale. Tra l’altro spiega bene i margini di ambiguità di come è stato interpretato finora l’Espionage Act, che non poteva impedire la pubblicazione di documenti, ma non escludeva la possibilità di applicarsi dopo la pubblicazione).

5) Il ritorno di Stoccolma
Rispetto alla Svezia. Giorni fa la procura svedese ha spiccato un mandato di arresto per presunto stupro contro il fondatore di Wikileaks, primo passo per una estradizione. (Repubblica). Dunque si complica ulteriormente la situazione. Come sapete, Assange è ora in carcere in UK per violazione dei termini della libertà su cauzione anni fa, prima di entrare nell'ambasciata dell'Ecuador. In caso di due richieste di estradizione (da Usa e Svezia), a decidere sarà una corte inglese e l'ultima parola su a chi dare la precedenza, scrive il Guardian, sarà del ministro dell'Interno. Entro il 12 giugno gli americani devono presentare tutti i documenti per l'estradizione.
Intanto l'Ecuador avrebbe consegnato agli americani gli effetti materiali, apparecchiature e altri documenti lasciati da Assange nell'ambasciata, scrive BBC.

SPAGHETTI SPYWARE
Arresti per Exodus, il captatore italiano dalle tante anomalie
Ricordate la vicenda di Exodus, il trojan, il software spia venduto ad alcune nostre procure per fare indagini, che - secondo quanto riportato da Motherboard e i ricercatori di Security Without Borders (report) - rischiava di infettare (o potrebbe aver infettato) centinaia di utenti, probabilmente ignari e non indagati, attraverso app camuffate per qualcos’altro e scaricabili da chiunque su Google Play? Ne avevo scritto in questa edizione della newsletter.
Dopo la prima attenzione mediatica su questo specifico aspetto, era poi venuto fuori che esisteva in realtà già da mesi una inchiesta sulle società che producevano e commercializzavano Exodus da parte della procura di Napoli. Ad aprile la procura aveva quindi “chiesto e ottenuto il sequestro preventivo della piattaforma informatica e delle aziende eSurv, società di Catanzaro ideatrice dell’applicazione, e Stm Srl, che si occupava della commercializzazione” (Il Fatto quotidiano). Inoltre era emerso che i dati captati dai dispositivi infettati da Exodus fossero salvati non in server sicuri delle procure ma nei server cloud di Amazon in Oregon. E che oltre a svariate procure, lo avessero comprato anche i nostri servizi, in particolare l’Aise (i servizi di sicurezza per l’estero) già alla fine del 2016 (L’Espresso).

Bene, la notizia di questi giorni è che sono stati arrestati (ai domiciliari) l’amministratore delegato e il direttore tecnico della E-Surv (più un altro dipendente indagato) con l’accusa di accesso abusivo a sistema informatico, intercettazioni illegali, frode di pubbliche forniture. Gli inquirenti stanno infatti indagando su otto-novecento inoculazioni del software che ritengono fossero state autorizzate dalle procure - e che però, scrive Corriere, non dovevano essere trasferite; e su 250 inoculazioni che potrebbero non essere state autorizzate, scrive il Mattino, che prosegue specificando come sotto i riflettori ci siano i legami tra eSurv e altre società che avrebbero usato i suoi servizi/software. In particolare sarebbero scattate perquisizioni a carico di: “IPs, con sede nel milanese; Stm, che ha sede a Cosenza; Rpc servizi tecnologici che ha sede a Latina e Caserta; Rifatec con sede a Caltanissetta e Nova che ha sede a Trieste”, scrive il Mattino.

Intanto gli inquirenti hanno “congelato” o “cinturato” 80 Terabyte di dati scaturiti dalle intercettazioni informatiche di Exodus e che stavano nei server in Oregon - così scrivono vari giornali, il termine cinturare però non è chiaro, forse si intende l’isolamento e salvataggio delle sue comunicazioni, ipotizzano con me vari esperti, o la richiesta ad Amazon di fare uno snapshot (una copia) di memoria e disco, così da poter capire il più possibile cosa ci sia conservato, come si accedeva, da chi/da dove, quali/quanti usi e accessi.

L’indagine sarebbe nata mesi fa quando un maresciallo della Guardia di Finanza di Benevento che “stava lavorando sulla piattaforma Exodus aveva notato che vi fossero delle strane interruzioni nel collegamento del server, a volte inaccessibile”. E facendo ulteriori verifiche si era reso conto che su quei server “erano disponibili altre attività investigative di suoi colleghi sparsi in tutta Italia, dalla Lombardia alla Campania, dal Lazio al Friuli Venezia-Giulia. Senza dimenticare la Calabria”, scrive CosenzaChannel. Che aggiunge: “le intercettazioni telematiche delle varie procure italiane, da quella di Benevento a quella di Castrovillari, da quella di Napoli a quella di Catanzaro, venivano riversate in un server Amazon in Oregon. Tutto visibile e consultabile, avendo le chiavi di accesso”.
Ma i dettagli più interessanti stanno su il Corriere della Calabria, secondo il quale “la piattaforma Exodus «era strutturata per inviare pacchetti di dati informatici esfiltrati dai dispositivi intercettati, direttamente sui server utilizzati dalla E-Surv (cioè quelli di Amazon) che solo secondariamente sarebbero stati inviati sui server della Procura o su quelli dei partner commerciali». Non solo, secondo il giornale, i server di alcune Procure addirittura non erano configurati, “cioè risultavano privi di hardware e dei sistemi operativi che avrebbero potuto farli funzionare». In pratica, «appare certo che l’archiviazione, la consultazione e anche lo “scarico” dei dati delle intercettazioni, per quegli uffici potesse essere gestito dal personale tecnico soltanto connettendosi al database di Exodus e solo attraverso le connessioni di rete e alle macchine di Amazon»”. In questi server sarebbero dunque stati accumulati, secondo questa ricostruzione, dati di procedimenti diversi in modo promiscuo. E ancora: “Tanto per rendere l’idea, all’interno di Exodus c’erano dati della Procura di Benevento, della Direzione centrale dei servizi antidroga, installata nella Procura di Roma, di altre Procure del territorio nazionale, di partner privati”. E ancora: “Il sistema Exodus, con tutte le sue presunte falle, si stava addirittura allargando a macchia d’olio”.

HUAWEI E USA
I termini della questione
La vicenda Huawei è diventata estremamente complessa (e in evoluzione). Qui non riesco a riassumerla tutta, sintetizzo all’estremo solo alcuni punti (di cui ho parlato anche su Radio 3 Mondo). E poi qualche consiglio di lettura.
Antefatto:
1) Gli Usa hanno buttato fuori Huawei dal mercato interno delle telecomunicazioni, le aziende americane non possono comprare da Huawei (ovvero da aziende sotto influenza di governi ostili)
2) Ma soprattutto gli Usa hanno messo Huawei in una lista nera commerciale per cui le aziende americane devono ottenere un'autorizzazione per fornirgli tecnologie e servizi
Da qui discendono:
- il blocco delle forniture di chip e altre tecnologie e servizi da aziende americane come Qualcomm a Huawei
- il blocco della vendita di licenze per i servizi forniti da Google su dispositivi Android
(poi rimandato fino ad agosto. Cosa cambia per gli utenti? Per i modelli già in commercio per ora nulla, ma il futuro è incerto; per i nuovi modelli qualcosa cambierà e non è ancora chiaro come)
Lo scenario più vasto in cui si inseriscono questi eventi:
1) il piano della guerra commerciale/dazi fra amministrazione Trump e Cina;
2) il piano della lotta più a lungo termine per il dominio tecnologico fra le due superpotenze, pensiamo agli investimenti in tecnologia e intelligenza artificiale della Repubblica popolare, in particolare il programma Made in China 2025 che punta alla quasi autosufficienza della produzione tecnologica. Ma per l’amministrazione americana questo progetto è perseguito a colpi di sussidi statali, trasferimento tecnologico forzato fatto con investimenti in aziende straniere e cyberspionaggio, limiti e regole capestro per chi investe in Cina ecc;
3) il piano e la partita industriale/commerciale sul 5G in cui Huawei è più avanti di molti concorrenti, soprattutto americani, e offre una tecnologia a prezzo inferiore a partner occidentali, e a telco con cui già aveva lavorato sul 4G da anni, specie in Europa e altri Paesi del mondo;
4) il piano della sicurezza delle reti di nuova generazione (il 5G appunto che permetterà servizi avanzati); e dei software/hardware usati per telecomunicazioni o da parte di infrastrutture critiche. Come possiamo sapere che sono sicure? E’ una questione di fiducia nel fornitore? Di dotarsi di parametri, procedure, e sistemi di controllo di qualsiasi fornitore? Su questo Usa e Australia hanno guidato una campagna di pressione su altri Paesi, specie in Europa. L’UK ha fatto una cosa sensata: si è messa ad analizzare le forniture con un centro apposito;
5) il piano delle violazioni delle sanzioni contro l'Iran di cui è accusata la direttrice finanziaria Huawei (nonché figlia del fondatore) da parte americana (e che ha portato al suo arresto in Canada);
5) il piano dello spionaggio informatico. Premesso che lo spionaggio informatico lo fanno tutti gli Stati, la Cina è stata una protagonista aggressiva soprattutto dello spionaggio commerciale e industriale, anche attraverso gruppi di hacker accusati di essere legati ai suoi servizi o all'esercito, e spesso individuati con le mani nel sacco da governi e società di cybersicurezza.
Tutti questi piani stanno implodendo e collassando l'uno sull'altro. E l’Europa è un campo di gioco più che mai cruciale.

Note sparse:
- aziende non americane che vendono prodotti con almeno il 25 per cento di contenuti americani sono obbligate a seguire le restrizioni Usa su Huawei, scrive il Financial Times (possibile paywall). La giapponese Panasonic e l’inglese Arm hanno infatti già fermato la vendita;
- anche se Huawei risolvesse i problemi di approvvigionamento di hardware, il software (le app) restano il problema, secondo Ars Technica che scompone un dispositivo Huawei nella sua filiera di produzione;
- anche fosse tutto un bluff per la trattativa commerciale, e Trump facesse retromarcia, il dado è tratto e non si torna indietro. Ovvero non si tornerà come prima. “L’America ha dimostrato due volte la sua volontà di soffocare le grandi aziende cinesi”, scrive l’Economist. E la Cina è ormai determinata a proseguire per la sua strada.

GOOGLE E L'ABORTO
Basta ads ingannevoli contro il diritto di scelta
Un tema che tocca poco l’Italia ma che è molto significativo nelle sue dinamiche. Google ha una nuova policy che obbliga le strutture sanitarie che comprano pubblicità sul suo motore di ricerca (pubblicità in cui fanno intendere di garantire alle donne la possibilità di abortire) di certificare che davvero offrano questa possibilità. Questo perché varie organizzazioni negli Usa, UK e Irlanda si sono pubblicizzate come strutture che garantivano il diritto all’aborto, salvo nella realtà essere contro il diritto di scelta e sviare così le malcapitate. Secondo The Verge sarà Google stessa d’ora in poi a verificare (come?) che le dichiarazioni delle cliniche siano accurate. La vicenda si lega anche a una polemica sollevata dal Guardian qualche giorno fa in cui Google avrebbe concesso pubblicità gratuita ad alcune di queste cliniche dai messaggi a dir poco fuorvianti.

ASSISTENTI VOCALI
Siri e Alexa sono sessiste?
Gli assistenti vocali rinforzerebbero gli stereotipi di genere, dice uno studio UNESCO. Non solo perché sarebbero spesso “femminili”, ma anche per come risponderebbero passivamente a battute o richieste sessuali (The Verge). Al di là di questa critica specifica agli assistenti vocali che immagino sarà accolta da molti in modo controverso, lo studio è molto più ampio e interessante e fa riflettere (sul futuro del rapporto fra umani e assistenti digitali e fra umani e umani).

SOCIAL E POLITICA

PARTITI ITALIANI E ADS SU FACEBOOK
La resa dei social conti
Quanto spendono i partiti in pubblicità su Facebook? Chi spende di più? Su quali pubblicità investono? Che post sponsorizzano? In questi giorni vari giornalisti e commentatori si sono divertiti a spulciare la recente libreria delle inserzioni Facebook, evidenziando anche come la Lega abbia investito su post che alimentano razzismo e xenofobia (vedi La Repubblica o Davide Piacenza).
Qui (VIDEO) Matteo Flora vi mostra le inserzioni della Lega passo per passo.
Divertitevi anche voi con la libreria inserzioni Facebook e traete le vostri conclusioni.

ACCOUNT FALSI
Intanto, Facebook ha rimosso più di 3 miliardi di account falsi.
Corriere

A UN ANNO DAL GDPR
Il Regolamento europeo sulla privacy ha avvantaggiato Big Tech, scrive Politico, soprattutto per come (non) è stato applicato.

MOBILITA' E APP
Il sistema usato dai guidatori di Uber e Lyft ad Arlington (Virginia) per manipolare le tariffe (spegnere la app in simultanea per qualche minuto e far alzare i prezzi per l'apparente riduzione della domanda)
Wjla

LOGISTICA/AMAZON
Lavoro "gamificato"
Amazon sta testando un programma pilota in cui usa videogiochi per rendere il lavoro di alcuni dipendenti nei magazzini più produttivo e meno monotono (Business Insider). Seattle Times spiega in dettaglio come funziona (e anche relativi dubbi).

LOGISTICA/GUIDA AUTONOMA
Pacco autonomo
Il servizio postale americano inizierà dei test con dei camion a guida autonoma - livello 4 nella scala dell’autonomia di guida, ovvero pienamente autonomo ma in alcuni scenari, in genere su autostrade (i livelli vanno da 0 - la guida che facciamo noi al volante, a 5 - in grado di sostituire una persona alla guida - vedi TechRepublic). Li produce la startup di San Diego TuSimple per trasportare pacchi e email tra Phoenix e Dallas, mille miglia (nei test ci sono sopra un conducente di emergenza e un ingegnere).
Bloomberg
Ah, TuSImple è una società sino-americana.

SICUREZZA
È più sicuro Whatsapp o Telegram?
Nella scorsa newsletter, parlando della falla Whatsapp, avevo scritto che Telegram aveva colto la palla al balzo per promuoversi come più sicura. E avevo specificato che le cose non sono così semplici, e che su Telegram vari esperti di sicurezza hanno delle riserve. In questi giorni il professore di sicurezza informatica del Polimi Stefano Zanero è tornato sull’argomento in un’intervista a Dday, spiegando che il protocollo di cifratura di Signal (adottato da Whatsapp) è stato “verificato più volte. Telegram usa un protocollo non particolarmente verificabile perché ha delle 'invenzioni' creative che non sono state approfondite adeguatamente".
Ad ogni modo, da tempo chi si occupa di sicurezza spiega come non sia così immediato consigliare una app o l’altra, perché i fattori da tenere in considerazione sono molteplici, e conta anche l’uso che se ne intende fare, il modello di rischio del singolo e via dicendo. Conta certamente il protocollo di cifratura, ma anche se la cifratura è di default, se sono conservati dei dati e quali, qual è la giurisdizione di riferimento, se salva messaggi su cloud e questi sono cifrati, se ci sono stati audit, controlli indipendenti, del codice, se si riceve notifica del cambio di fingerprint dei contatti, se i metadati sono cifrati e via dicendo.
Per farvi capire questa complessità vi riporto due diverse tabelle comparative della sicurezza di app di messaggistica (via @guelfoweb, @msmdimarco, @_vecna)
Tabella sui protocolli di comunicazione digitale
Matrice di comparazione tra app di messaggistica sicura

TOR
Tor Browser arriva su Android
Il progetto Tor ha rilasciato su Google Play Store la prima versione stabile del suo Tor browser (che permette di navigare proteggendo la propria privacy e identità) per Android. “Anche se ci sono ancora delle differenze tra la versione desktop e quella per Android, siamo fiduciosi del fatto che Tor Browser per Android fornirà le stesse protezioni”, hanno dichiarato da Tor Project. Non c’è ancora una versione per iOS ma da Tor raccomandano l’installazione di Onion Browser iOS app per ora. Mozilla, dal suo canto, sta finanziando una ricerca per trovare il modo di integrare il protocollo Tor in Firefox, dove potrebbe funzionare da “modalità super privata di navigazione”, scrive Zdnet. Tor Browser è già basato su Firefox.

DATI FUORI CONTROLLO
Snapchat e i dipendenti che hanno spiato i dati degli utenti
Dipendenti di Snap hanno abusato di uno strumento che era stato creato per rispondere alle richieste delle forze dell’ordine, SnapLion, e che permetteva l’accesso ai dati degli utenti.
Vice

Social e password in chiaro
Anche Google ha scoperto un bug (che risale al 2005) che ha fatto sì che una parte di utenti aziendali di G Suite avessero le loro password salvate in chiaro. Ma nessuna password sarebbe stata usata impropriamente, dice l’azienda. Che ha fatto il reset ai diretti interessati.(TechCrunch)
"Cosa hanno in comune Facebook, Twitter e ora Google? Hanno tutti fatto casino e conservato le password di alcuni utenti in chiaro. Tutti devono usare l’autenticazione a due fattori”, twitta Nicholas Thompson.

Instagram e il database di influencer
Un ricercatore ha trovato online, accessibile senza password, un database con le informazioni su milioni di influencer Instagram. I dati - del profilo ma anche email e telefono - sembrano essere stati raccolti da una società indiana, Chtrbx, che paqa influencer per postare contenuti sponsorizzati. Varie persone che erano nel database hanno detto a TechCrunch di non saperne nulla né di avere avuto rapporti con Chtrbx.
Quante altre società avranno fatto scraping, raccolta di dati dai profili utenti, li avranno messi consultabili in un database e lo avranno lasciato esposto al primo che passa?

Mutui esposti online
La società First American Financial Corporation ha esposto online 885 milioni di documenti sui mutui dei clienti.
KrebsOnSecurity

CYBERCRIME
Ransomware in the city
Dopo due settimane da quando è stata colpita da un ransomware, i virus che cifrano tutto e chiedono un riscatto, la città di Baltimora è ancora in alto mare. Niente mail per l'amministrazione cittadina, niente sistema telefonico, no alla possibilità di fare pagamenti, saldare multe e altro, stop per le transazioni immobiliari ecc mentre gran parte dei sistemi sono ancora ko, e i dipendenti pubblici devono ricorrere alla carta o ai pc e mail personali. Insomma, un casino. Nessuna data di quando e se verrà ripristinato tutto, nessuna certezza sulla completezza dei backup disponibili e costi che si preannunciano ben superiori ai 70mila dollari chiesti in riscatto dal ransomware RobbinHood. La città scontava una forte inadeguatezza tecnologica e sembrava faticare a transitare verso un modello più efficiente. E ora è arrivato il colpo di grazia. Secondo alcuni esperti ci vorranno mesi per riprendersi.
Ars Technica
Sono una ventina le città americane già colpite da ransomware a partire dal 2019; a marzo c'era stata la vittima eccellente di Atlanta, alla quale l'attacco e le conseguenze sono costati la bellezza di 17 milioni di dollari. Secondo un recente report della società di cyber intelligence Recorded Future (report), almeno il 17 per cento degli enti locali e statali (negli Usa) pagherebbero il riscatto. E gli attacchi contro amministrazioni pubbliche sarebbero in aumento dal 2018.
NPR

GIORNALISMO
L’esperienza di un micro social network locale, che connette abitanti di un posto con i media dell’area. Un social senza algoritmi che decidono cosa farti vedere. Un template per il giornalismo locale? Nieman Lab

AI
Deepfake ancora più facili
Samsung può fabbricare un video deepfake (in questo caso specifico, video che animano la faccia di qualcuno facendogli dire o fare cose che non ha mai fatto) da una singola foto, anche un quadro (su Cnet potete vedere la Gioconda animarsi e farvi venire un infarto - sono riusciti a farla diventare una specie di influencer su Instagram).

I 5 principi dell’OECD per una AI democratica
Anche l’OECD (dopo l’Europa) annuncia 5 principi che dovrebbero guidare lo sviluppo dell’intelligenza artificiale:
- deve beneficiare le persone, il pianeta, lo sviluppo sostenibile
- deve rispettare lo stato di diritto, i diritti umani, i valori democratici, la diversità, e includere le necessarie salvaguardie
- ci deve essere trasparenza sui sistemi di AI per assicurare che le persone possano capirne gli esiti e anche metterli in discussione
- ci deve essere una continua valutazione/gestione del rischio
- chi sviluppa o gestisce sistemi di AI deve essere responsabile per il loro funzionamento sulla base di questi principi
Technology Review

Beviamoci su
Microsoft e una distilleria svedese si sono messe assieme per creare un whisky attraverso una AI, che abbia analizzato esistenti combinazioni, dati sulle vendite e preferenze clienti. Barron’

APPROFONDIMENTI/LETTURE

Viaggio nella piccola ma organizzata comunità di Habbo, un gioco di ruolo e social lanciato nel 2001 ancora vivo mentre altri rivali non ce l'hanno fatta
Engadget

Reportage nelle dinamiche degli influencer e dei loro fan, incluso il "drama" che li circonda. E dove scoprirete cosa è un tea account.
The Atlantic

Un popolare giocatore di Fortnite fa causa alla società di esports che lo gestisce per sfruttamento
(The Verge)

Così sono entrati nella mia mail, nei miei account e mi hanno rubato dei soldi - Sean Coonce su Medium

Un po’ offtopic ma oggi è pur sempre giorno delle Europee e l’ottica è sempre quella di dare info utili. Se ancora non sapere se e/o chi o come votare, ecco una guida: Guida alle elezioni europee: come si vota, le candidature, i programmi, le alleanze (Valigia Blu)
Notevole il sito di Vice che prima di mostrare un articolo oggi ti chiede se hai votato.


Qui puoi leggere le passate edizioni https://tinyletter.com/carolafrediani/archive
Come fare informazione con una newsletter (e vivere felici)
Ti è piaciuta? Inoltrala a chi potrebbe essere interessato.
Per iscriversi a questa newsletter: https://tinyletter.com/carolafrediani
Se vuoi mandarmi suggerimenti basta rispondere.
Buona domenica!