[Guerre di Rete - newsletter] Attacco agli iPhone

Telegram e manifestanti; G7 e rimozione contenuti; ransomware e assicurazioni.

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.42 - 1 settembre 2019


Oggi si parla di:
-intro, la newsletter e la nuova piattaforma
- censura e contenuti estremisti o d’odio
- il Ceo di Twitter e l’account scippato
- un grosso attacco agli iPhone e un grosso indiziato
- Hong Kong e il futuro della tecnopolitica
- dietro l’epidemia ransomware contro le città
- e altro

Ciao a tutti
eccoci di ritorno dalla pausa estiva. Faccio solo questa volta una doverosa introduzione (chiedo perdono, le odio anche io) soprattutto per i molti nuovi iscritti arrivati quando la newsletter era in pausa, ma anche per i vecchi che si troveranno magicamente su una nuova piattaforma, Substack, e non più Tinyletter. Ho cambiato perché Tinyletter ha il limite dei 5mila iscritti, e voi siete oltre 4300 e in crescita costante. Inoltre Substack offre funzioni aggiuntive o di community (dai podcast ai thread di discussione) che mi sembravano interessanti. Consente anche di chiedere degli abbonamenti, ma questa newsletter è e resterà gratuita. Questo perché è una attività (lo ribadisco per chi non mi conosce, qui altre info su di me in un tweet) che faccio nel mio tempo libero, in modo indipendente e no profit, con l’unico obiettivo di informarmi e informare, e magari dare un contributo sui temi del digitale all’ecosistema mediatico italiano - per capire di più il senso di questa scelta segnalo il mio articolo su Medium - Come fare  informazione con una newsletter (e vivere felici).
Ogni tanto ci sarà qualche speciale monotematico invece della raccolta di notizie e analisi (messo in cantina per le settimane difficili, quindi sostitutivo della raccolta di notizie); ogni tanto la newsletter salterà perché magari ho troppi casini (però avviserò sempre sui miei social, ad esempio sul mio profilo Twitter); ogni tanto sarà più ricca, ogni tanto più magra.
Potete rispondermi alla newsletter, o mandarmi segnalazioni (via newsletter o via mail, senza allegati please, e NON via social se possibile, altrimenti le perdo per strada; trovate anche un numero Signal sul mio profilo Twitter). Per le prime settimane comunque aspettatevi una partenza in salita perché il rientro è duro per tutti… Ma sul medio termine ho vari progetti per Guerre di Rete.

Segnalazioni prossime:
Ci vediamo il 14 settembre a Bergamo alla conferenza di cybersicurezza #nohat dove parlerò di cybercriminali ed errori di opsec, e che vi consiglio per la presenza degli altri speaker (superlativi).
Poi ci vediamo il 16 settembre a Milano alla presentazione del mio ultimo saggio #Cybercrime (Hoepli), uscito a giugno.
Mentre poco prima che questa newsletter chiudesse per l’estate, era uscito anche un mio romanzo, un cyber thriller a tema sorveglianza, “Fuori Controllo” (per chi ancora si sente in mood vacanziero).
Infine, qui un divertente AMA (Ask Me Anything) che ho fatto venerdì su Reddit r/ItalyInformatica.

Dunque si parte e buon settembre a tutti!

CENSURA/ESTREMISMO
Dall’Australia al G7, giro di vite su internet

Dopo il massacro nelle moschee di Christchurch, che fu trasmesso in un video live su Facebook poi ripreso da molti altri siti e piattaforme, Nuova Zelanda e Australia hanno iniziato un giro di vite su social e siti che ospitano contenuti terroristici, estremisti e violenti. In particolare, l'Australia è capofila di un gruppo di Paesi che vorrebbero una regolamentazione più stretta online, con possibilità di bloccare contenuti e siti. Così dopo aver votato a giugno una legge (Abhorrent Violent Material bill) che potenzialmente potrebbe multare e imprigionare dirigenti di aziende tech che ospitino contenuti definiti genericamente "violenti" e "ripugnanti" e che non li rimuovano in un tempo "veloce", ora il governo ha proposto di stabilite un framework (che tradotto sembrerebbe essere per ora un codice volontario) per bloccare domini che pubblichino tali materiali e che non intendano rimuoverli, specie in momenti di crisi, attentati e simili.

Il nuovo sistema australiano per bloccare contenuti terroristici
In sostanza il succo della proposta sembra essere il seguente: ci sarà una commissaria alla eSafety che determinerà quali siti debbano essere bloccati caso per caso (siti che mostrino "omicidi, tentati omicidi, stupri, torture, rapimenti, registrati da chiunque coinvolto nella condotta", secondo Reuters; un centro di coordinamento di crisi che farà un monitoraggio 24 ore su 24 su questi materiali; e un potere maggiore alle telco che dovranno essere quelle che bloccano. Proprio alcune telco australiane - Telstra e Optus - avevano bloccato temporaneamente e in modo autonomo alcuni siti con il video dell'attacco di Christchurch, lamentando però poi di non avere poteri certi e chiedendo regole più specifiche (Crn.au).

Dubbi e incertezze
Ora, non è chiaro come sarà implementato tutto ciò e non ci sono dettagli; come al solito, nota un ricercatore dell'istituto australiano ASPI, il rischio è di correre a fare le cose senza soppesare le questioni e consultare esperti e società civile. Ad esempio, che succede se un pezzo del video di Christcurch è incorporato in un servizio giornalistico? ABC (AUDIO in inglese).
Secondo Angus Murray, della sezione australiana della associazione Electronic Frontiers Foundation, si tratta di una "proposta pericolosa". In pratica, dice, "il potere di censurare è una china scivolosa e non dovrebbe essere implementato senza considerare in modo informato, ampio e attento l'adeguatezza e proporzionalità di tale schema". Ovvero: "è importante che i benefici di una Rete aperta non siano gettati insieme all'acqua sporca" (innovationaus.au).
Dal suo canto, per una parte dell'opposizione australiana, ad esempio secondo il parlamentare laburista Tim Watts, il provvedimento affronta solo il problema dei video in momenti di crisi, ma nulla farebbe per contrastare i processi di radicalizzazione online.
Sembra di capire, a giudicare dalle parole del ministro delle comunicazioni australiano (Sidney Morning Herald), che i target principali di questo nuovo framework non saranno tanto i grandi social media, ma soprattutto i siti di nicchia, come 4chan o 8chan. E tuttavia, anche le grandi piattaforme non saranno al riparo da potenziali blocchi, o comunque potrebbero incorrere in azioni legali.

La Carta del G7 contro l’odio online
Il primo ministro australiano Scott Morrison ha quindi portato al G7 di Biarritz la propria battaglia contro l'estremismo su internet, anche se non ha raccolto l'adesione di un alleato importante, Donald Trump. (SMH)

Tuttavia, ha twittato lunedì il ministro francese per il Digitale, Cédric O, “le grandi piattaforme digitali hanno concordato di sostenere una Carta (Charter) per una internet libera, aperta e sicura. Un passo significativo verso una maggiore protezione degli utenti dei social media e una azione più efficiente contro l’odio online. Continueremo a lavorare su questo tema importante”. Questa carta - che gli Usa non hanno firmato “per ragioni legali”, probabilmente per paura che contrasti con il loro Primo Emendamento, che protegge fortemente la libertà di espressione - sarebbe una sorta di impegno preso da vari Stati del G7 e aziende per contrastare con più efficacia l’odio online, per spingere sulla rimozione e sulla moderazione di contenuti.
(Di questo Charter però è trapelato poco. Se qualcuno ha informazioni più precise, sono bene accette)

L’Europa e la rimozione di contenuti
Ricordiamo che nei mesi scorsi l'Europa ha spinto per una legislazione (attualmente ancora in fase di definizione) che preveda la rimozione di contenuti terroristici entro un'ora, con alcuni politici che volevano anche un monitoraggio automatico dei contenuti caricati, poi scartato, scriveva mesi fa TechCrunch. Ma anche eliminando dalla legislazione questo obbligo, c'è chi ritiene che i controlli automatici possano rientrare dalla finestra se i tempi di rimozione previsti sono troppo stretti (l'idea nella proposta legislativa era di dare un po' più di tempo alle piccole realtà, che avrebbero più difficoltà a ottemperare alle richieste).

C'era poi la questione niente affatto marginale di come definire un contenuto terroristico. Per il comunicato di aprile del Parlamento europeo, si tratterebbe di qualsiasi materiale - testo, immagini, registrazioni sonore o video - che "incita, incoraggia o appoggia la commissione di reati di terrorismo, impartisce istruzioni finalizzate alla commissione di tali reati o promuove la partecipazione nelle attività di un gruppo terroristico,", nonché i contenuti che forniscono indicazioni su come fabbricare e utilizzare esplosivi, armi da fuoco e altre armi a fini terroristici.

Fuga in avanti della Francia
Dal suo canto a luglio in Francia l’Assemblea nazionale ha approvato una legge per combattere i discorsi d’odio online che obbligherà i social media a rimuovere i contenuti interessati entro 24 ore dalla segnalazione e a creare un nuovo bottone per permettere agli utenti di segnalare abusi. La legge - in parte basata su quella tedesca entrata in vigore l’anno scorso, e che ancora potrebbe essere emendata al Senato francese - prevede multe fino a oltre 1 milione di euro per le violazioni. (The Guardian).

Le preoccupazioni del rapporteur Onu
Proprio su questa legge francese contro l’hate speech si è espresso con una comunicazione ad agosto David Kaye, il rapporteur speciale Onu per la libertà di espressione, dicendosi molto preoccupato da una serie di questioni. In particolare dal fatto che la legge proposta non preveda l’intervento di un giudice (bensì di organi amministrativi) nelle decisioni prese che limitano la libertà di espressione; che la legge preveda di rafforzare il ruolo delle piattaforme online nella moderazione dei contenuti su internet e questo potrebbe portare a una ulteriore concentrazione di potere e a un abuso di posizione dominante nel mercato; che il limite di 24 ore e le pesanti multe comminate incoraggeranno le piattaforme, in un eccesso di cautela, a rimuovere anche contenuti che non siano chiaramente di odio, determinando una “censura precauzionale” e che questo possa portare a limitare la libertà di cercare, ricevere, disseminare idee su internet.

La Gran Bretagna e i contenuti “dannosi”
Infine, ricordiamo che ad aprile la Gran Bretagna ha pubblicato un libro bianco sui Danni Online (Online Harms) che propone di rendere responsabili le piattaforme digitali per una ampia gamma di contenuti ritenuti “dannosi”, che vanno da attività già chiaramente illegali a comportamenti odiosi e pericolosi ma non necessariamente illegali. Uno schema che dovrebbe applicarsi nelle intenzioni a social, forum, motori di ricerca e pure servizi di messaggistica (Wired UK). Ovviamente il documento è stato molto criticato da più parti, ma recentemente è uscito un saggio di un professore di legge dell’università di Santa Clara che gli spara contro delle vere cannonate, alla faccia delle disquisizioni accademiche.
Ne cito alcune parti: “Il libro bianco propone di portare la censura su internet a nuovi livelli, mai raggiunti da altre democrazie occidentali. È un segno di come una censura ampia abbia superato i confini dei regimi repressivi per diventare trendy pure nelle principali democrazie. Per affrontare una ampia gamma di attività online antisociali, il libro bianco cerca di di circoscrivere strettamente i contenuti generati dagli utenti - in modo così stretto che solo un piccolo numero di giganti internet potrà essere in grado di trarre profitto dalla pubblicazione di quegli stessi contenuti. Altre piattaforme saranno spinte a prendere in licenza solo contenuti professionali e a coprire i costi con le sottoscrizioni dei consumatori. Dunque, il libro bianco produrrà una internet 3.0 riconfigurata che assomiglierà all’industria della tv via cavo, non alla Rete che conosciamo”. Amen.
Vedi anche: Come Big Tech può combattere il terrorismo bianco suprematista  (Archivio, registrazione, Foreign Policy)

TWITTER
Se viene violato il profilo del Ceo

Qui non so neanche da dove cominciare. Il Ceo di Twitter, Jack Dorsey, ha avuto il suo stesso account scippato da un gruppo di hacker che per 20 minuti hanno twittato al suo posto cose senza senso, a sfondo nazi-razzista. Come è stato possibile?
Gli attaccanti sono riusciti a farlo dopo essersi fatti assegnare dalla compagnia telefonica, presumibilmente con un inganno, il numero di Dorsey (un attacco detto del cambio di SIM o SIM swap, in cui chiedi di passare un numero su un’altra SIM, piuttosto frequente negli Usa e alla base di molti hack di profili VIP). In teoria l’autenticazione a due fattori (in cui per accedere oltre alla password serve un codice), con il codice generato automaticamente da app sul tuo dispositivo (e non tramite invio di sms) avrebbe dovuto fermarli, ma loro hanno usato un altro stratagemma. Hanno pubblicato i tweet inviandoli sotto forma di sms, come ha confermato la stessa Twitter (è possibile farlo, qua Twitter spiega come). Ora, dove sta l’inghippo?
Che gli attaccanti non dovevano conoscere la password di Dorsey, o immettere codici di autenticazione, perché il sistema prevede (a questo punto possiamo dire erroneamente) che se twitti via sms dal tuo stesso telefono stai dando una prova della tua identità, scrive Wired Usa. Inoltre l’invio tramite sms farebbe apparire il tweet come inviato da Cloudhopper, un servizio acquisito da Twitter anni fa, il che ha generato confusione.
Dunque, se le cose stanno così, mi pare chiaro che il sistema di invio via sms si sia rivelato fallace, e quanto meno vulnerabile a un attacco di cambio SIM. Ma c’è un dato positivo: se perfino il Ceo di Twitter ha il suo account violato (per altro, era già successo nel 2016), allora può davvero succedere a tutti, e se succede allora niente sensi di colpa (però l’autenticazione a due fattori, e via app, mettiamola, si fa qua: Brian Krebs suggerisce alcune misure aggiuntive per i più esperti).

APPLEGEDDON
Un (grosso) attaccante infettava iPhone in massa

Un attaccante ha sfruttato 14 vulnerabilità di iOS per entrare nei dispositivi iPhone e iPad e sottrarre foto, email, credenziali di login, messaggi salvati in Whatsapp, iMessage, e Telegram. Lo ha fatto in una campagna di due anni, tra settembre 2016 (iOS 10.0.1) e lo scorso dicembre (iOS 12.1.2). Lo ha fatto attraverso dei siti hackerati. Bastava che l’utente li visitasse. “I siti hackerati sono stati usati in attacchi watering hole indiscriminati”, hanno scritto i ricercatori di Project Zero, la squadra di Google che caccia vulnerabilità ancora sconosciute (i cosiddetti zero-days). Un attacco di watering hole usa un sito per infettare i dispositivi dei suoi visitatori, e viene spesso usato contro gruppi, entità o comunità specifiche che si presume visitino o possano essere indotte a visitare un certo sito. Non c’era una scelta del target, proseguono i ricercatori. “Solo visitare un sito hackerato era abbastanza per il server exploit per attaccare il dispositivo e se l’attacco riusciva installava un impianto di monitoraggio. Stimiamo che questi siti ricevano migliaia di visitatori per settimana”.
La notizia è stata una bomba nei circoli di sicurezza informatica. Fino ad oggi si erano visti soprattutto attacchi mirati a utenti iPhone, è la prima volta che emerge una campagna di massa, indiscriminata (ma probabilmente mirata come tipologia di target), condotta attraverso siti infetti, che usa tutte queste vulnerabilità, alcune anche zero-day, e catene di exploit, di attacchi, necessarie per aprirsi progressivamente la strada sul dispositivo, il cui prezzo sul mercato per un iPhone aggiornato arriva fino almeno a 3 milioni di dollari, nota Vice.
Se i bug, le vulnerabilità sfruttate erano di pregio, altri aspetti dell’operazione - oltre alla non discriminazione delle vittime - lasciano dubbiosi i ricercatori: l’infezione non era persistente, bastava un riavvio per eliminarla (anche se all’attaccante restavano le credenziali per accedere agli account della vittima); il malware non sembrava voler nascondere i propri processi, usava canali HTTP non cifrati per inviare quanto esfiltrato dai dispositivi. In ogni caso, tutti concordano sul fatto che sia un brutto colpo per l’immagine di iOS come sistema molto sicuro. Una notizia “terrificante”, secondi alcuni esperti.

“La non persistenza non mi preoccupa, quasi non serve”, spiega a Guerre di Rete Alberto Pelliccione, Ceo della società di cybersicurezza ReaQta e analista di malware di lungo corso. “L’impianto carica tutto inclusi i long term cookie, quindi hai accesso alla vita intera della vittima e se proprio dovessi aver bisogno di ri-exploitarla (infettarla di nuovo, ndr) , non sarebbe un problema a quel punto”. Tra l’altro molti utenti, specie chi lo usa come sveglia, spengono raramente gli iPhone, specifica Pelliccione. Che prosegue:“La notizia ci dà un segnale importante: le iOS chain (le catene di exploit, attacchi per infettare un iPhone, ndr) non sono cosi rare come si vorrebbe far credere, la qualità della verifica del codice fatta da Apple lascia un po' a desiderare, alcuni bug exploitati (sfruttati per fare un attacco, ndr) non ha senso che non siano usciti fuori in fase di test. Il fatto che iOS non sia ispezionabile in nessun modo ha dato una mano non da poco agli attaccanti che infatti non si sono preoccupati di far alcun meccanismo di hiding (cioè di nascondere quello che facevano, come dicevamo sopra, ndr).” Insomma, “certamente iOS è ben fatto, ma non è invulnerabile, e non dare la possibilità di analizzare i dispositivi agli utenti non solo aumenta la percezione della sicurezza dei dispositivi ma finisce col fare il gioco dell'attaccante che non deve neanche preoccuparsi di fare impianti sofisticati, al di là dell'exploit iniziale”.

Apple ha chiuso le vulnerabilità a febbraio, giorni dopo che Google l’ha avvisata in privato. Tuttavia ora Google è stata criticata per aver scelto di non pubblicare la lista di siti malevoli. Ma una indicazione importante arriva da TechCrunch: secondo la testata i siti prendevano di mira musulmani della minoranza etnica uigura, che come sappiamo è oggetto di controllo e repressione da parte del governo cinese. Ma anche utenti non uiguri potrebbero avere avuto accesso a questi siti dato che erano indicizzati da Google (tanto che l’Fbi ha chiesto a Google di rimuoverli dall’indicizzazione).

HONG KONG
Uno specchio del futuro di rivolte e repressioni

Mentre da Hong Kong arrivano notizie sempre più drammatiche, e continua a salire la tensione fra i manifestanti e l’esecutivo con arresti di massa (e con la Cina che avrebbe intimato al governo locale di non cedere ad alcuna richiesta - Reuters), l’organizzazione delle proteste (e il loro contrasto) appaiono sempre di più come uno scorcio di futuro, un’avanguardia tecnopolitica di contestazione e repressione. Una “rivoluzione nelle metropoli postmoderne del 21esimo secolo”, come ha twittato qualcuno.
Da un lato la Cina ha dato vita a una offensiva social-mediatica mirata soprattutto al pubblico internazionale, in cui cerca di mettere in cattiva luce i manifestanti e in buona luce il governo locale di Hong Kong. Social cinesi come Weibo sono pieni di cittadini che chiedono di “proteggere Hong Kong”, scrive Reuters, mentre media nazionali hanno inondato la rete con storie e immagini (usando post sponsorizzati sui social) in cui i dimostranti sono dipinti come terroristi manipolati dalle potenze occidentali.
Infatti Facebook, Twitter e Google hanno annunciato di aver rimosso profili fake e campagne coordinate di propaganda statale. Facebook e Twitter sono arrivate al punto di citare esplicitamente il governo cinese – cosa che non ha fatto Google, la quale ha comunque chiuso 200 canali YouTube. (Business Insider).
La propaganda social cinese in lingua inglese– riferisce un report della società Recorded Future – ha prima ignorato le manifestazioni di Hong Kong e poi, col crescere degli eventi, ha condannato le proteste ma soprattutto si è concentrata su messaggi positivi per il governo della città. Il suo obiettivo generale è riformulare la percezione delle proteste in Occidente.

Telegram e le preoccupazioni dei manifestanti
Nei giorni scorsi alcuni ingegneri e manifestanti avevano espresso preoccupazione per una funzionalità della app Telegram (fulcro organizzativo delle manifestazioni come avevo raccontato qua) che poteva potenzialmente essere abusata da un attaccante statale per identificare i partecipanti a una delle numerose e affollate chat di gruppo di coordinamento. Infatti anche se un utente può scegliere di non mostrare il proprio numero di cellulare nelle impostazioni privacy, questo resta visibile per i suoi contatti presenti in un gruppo. Una funzione pensata per farsi trovare dai propri amici in rubrica poteva insomma essere abusata da uno Stato in grado di ottenere i numeri telefonici della popolazione e di caricarli in rubrica usando molteplici client, per identificare gli utenti di specifici gruppi, ha segnalato Zdnet (in italiano, Wired Italia).

Come funziona: parla l’esperto
Come funzionerebbe questo attacco lo spiega a Guerre di Rete il consulente informatico forense ed esperto di indagini digitali Paolo Dal Checco. “In realtà non si tratta di un "bug", come ha dichiarato anche Telegram dopo questa polemica sollevata dagli attivisti, ma di una caratteristica di tutti o quasi i sistemi di instant messaging. Whatsapp, Facebook Messenger e persino Signal si comportano alla stessa maniera: se il numero di cellulare di un utente è nella nostra rubrica, quando avvieremo una chat con l'utente, vedremo il suo numero. Se, potenzialmente, inseriamo nella nostra rubrica tutti i numeri di cellulare di una Nazione, possiamo deanonimizzare tutti gli utenti che si sono registrati con tali numerazioni. È quello che temono gli attivisti, che scrivono di aver fatto un esperimento aggiungendo alla rubrica un migliaio di utenze e osservando come, in alcuni gruppi, sono riusciti a visionare i cellulari dei partecipanti”.
“Le questioni legate a questo episodio sono sostanzialmente due – prosegue Dal Checco - la prima è che gli attivisti temono che qualcuno riesca davvero a inserire in rubrica interi elenchi telefonici, procedendo in ordine incrementale, così da deanonimizzare praticamente chiunque. Telegram risponde che il sistema esegue controlli molto rigidi sull'importazione di nuovi contatti da parte degli utenti e chi viene sorpreso a caricare troppi numeri di telefono in rubrica viene forzato tramite un "ban" a importarne al massimo 5 al giorno. Eventuali importazioni aggiuntive saranno possibili ma non sarà visibile in rubrica il corrispondente nome utente. Ci sono anche casi nei quali (ho provato di persona...) Telegram può sospendere l'account che viene completamente disabilitato, quindi posso confermare che i controlli li fanno davvero. Gli attivisti temono, però, che con particolari accorgimenti (immaginiamo ad esempio la creazione di numerosi utenti, importazioni lente e dosate per sembrare "reali", utilizzo di IP diversi e reti diverse, etc...) un attore con risorse economiche rilevanti e la giusta motivazione sia in grado di mappare comunque milioni di utenti, aggirando i "ban" di Telgram e creando quindi un sistema di deanonimizzazione che dato un nome utente restituisce la sua utenza cellulare.
La seconda questione è che tutto nasce principalmente da un equivoco legato a un'opzione inserita alcuni mesi fa nell'app di Telegram, che permette agli utenti d'impostare la visibilità del proprio numero di telefono con la scelta fra tutti, solo ai propri contatti o a nessuno. Questa impostazione è stata fraintesa, perché come specifica Telegram in piccolo nella stessa finestra dell'app, vale solo per chi non ha il nostro numero in rubrica, chi lo ha lo vedrà comunque e non c'è modo d'impedirglielo”.
Come suggeriscono Dal Checco e altri esperti, per evitare il problema bisognerebbe attivare l'account di Telegram con una utenza secondaria, magari con un cosiddetto "burner phone".

Il rilancio di Telegram

Ad ogni modo è arrivato un aggiornamento importante su questo tema. Telegram ha infatti annunciato un update atteso nei prossimi giorni proprio per proteggere le identità dei manifestanti (Reuters), confermando che le autorità locali avrebbero usato quel metodo, anche se non è chiaro con quali risultati. Sarà interessante vedere come sarà implementato l’aggiornamento “pro-manifestanti”. Ed è interessante che Telegram si sia mostrata così reattiva su questa richiesta.

RANSOMWARE, CITTA', ASSICURAZIONI
Dietro all’epidemia di attacchi

Il governo Usa sta per lanciare un programma per la protezione dei database usati nella registrazione degli elettori in tempo per le elezioni presidenziali del 2020. Si tratta di quei sistemi che, secondo il governo Usa, sono stati in parte attaccati da hacker russi nel 2016, anche se non ci sono state ripercussioni: e ora l'intelligence americana teme che nel 2020 la situazione possa ripetersi ma con effetti tangibili, ovvero con manipolazione o distruzione dei dati, riferisce Reuters. In particolare l'agenzia che si occupa della protezione delle infrastrutture critiche nazionali da attacchi informatici (Cybersecurity Infrastructure Security Agency - CISA) teme che i database possano essere colpiti da ransomware, i virus che bloccano l'accesso ai dati (cifrandoli) e chiedono un riscatto, e che hanno imperversato nell'ultimo anno proprio fra le amministrazioni americane, provocando danni ingenti. I governi statali e locali che gestiscono queste infrastrutture sono infatti un target per attacchi ransomware, ha dichiarato il direttore dell'agenzia, Christopher Krebs; e a quanto pare non esiste neanche uno standard su come vadano fatti i backup. A funzionari e amministratori verranno dunque forniti materiali educativi, lista di raccomandazioni, servizi di penetration test e di vulnerability scan (che simulano attacchi e mappano le debolezze di un sistema).
Qui alcune raccomandazioni di CISA.

Qualche mese Baltimora era stata l'ennesima città a stelle e strisce che negli ultimi due anni era stata messa in ginocchio da un ransomware . A luglio il governatore della Louisiana aveva dichiarato lo stato d'emergenza in risposta a un attacco di questo genere che aveva colpito i sistemi scolastici in diversi distretti. Del resto, dal 2016 ad oggi, nelle scuole pubbliche primarie e secondarie americane, sono stati registrati quasi 600 incidenti informatici (mappa).
A metà agosto il Texas si è trovato con 23 agenzie governative offline a causa di un ransomware (poi identificato come REvil). Mentre sono 170 le contee, città o governi statali che sono stati colpiti da ransomware dal 2013 negli Stati Uniti. Al punto che lo scorso luglio era arrivata una risoluzione firmata da oltre 200 sindaci che chiedeva di non pagare i riscatti (vedi NYT; o manifesto). Del resto, il 53 per cento degli incidenti globali coi ransomware riguarderebbero gli Stati Uniti, sostengono i dati (da prendere con cautela) raccolti dalla società di sicurezza Malwarebytes; secondo altri dati è la Corea del Sud il Paese più colpito, seguito comunque dagli Usa (Bleeping Computer).

Tutto ciò sta avvenendo per una serie di concause. Da un lato i cybercriminali che gestiscono queste campagne hanno cambiato obiettivi, passando da una strategia di invio a pioggia ("Spray and pray") e che andava ad abbattersi su singoli o piccole aziende, a una di "caccia grossa" ("big game hunting"): quindi si prendono di mira grosse aziende e amministrazioni, cui si possono spillare molti più soldi. Dal 2018 al 2019 gli attacchi al business sarebbero aumentati del 363%, sempre secondo Malwarebytes.
Le amministrazioni Usa sono particolarmente soggette a questi attacchi anche qui per una serie di fattori. Da un lato, piccoli comuni e città, pur avendo informatizzato molti servizi, hanno spesso problemi di budget e pensare di mettere dei soldi nella cybersicurezza è l'ultimo dei problemi. Dall’altro, lo stesso utilizzo di assicurazioni - sospettano alcuni - incentiva i pagamenti, alimentando l’economia delle estorsioni: è la tesi di questo speciale di ProPublica.
Del resto, Business Email Compromise (una truffa che consiste nel far dirottare pagamenti legittimi) e ransomware sono le prime due voci di richieste di indennizzo dalle aziende che hanno comprato polizze che coprono incidenti cyber, secondo AIG, una delle maggiori compagnie assicurative (via Mikko).

CYBERWARFARE
Come il Cyber Command ha messo KO gli hacker iraniani

Riordate l’attacco digitale di rappresaglia del Cyber Command americano contro un gruppo di cyberspie iraniane accusate di aver sostenuto gli assalti a due navi commerciali lo scorso giugno nel Golfo Persico? (ne avevo scritto qua).
Ora è emerso qualche altro dettaglio, per quanto vago, a dire il vero. L’attacco avrebbe infatti cancellato un database critico usato dal Corpo delle guardie della rivoluzione islamica per orchestrare attacchi contro le petroliere nello stretto di Hormuz, degradando la capacitò di Teheran di compiere queste azioni nell’area. E’ quanto affermato da alcune fonti governative americane al New York Times. L’Iran starebbe ancora cercando di recuperare le informazioni e i sistemi distrutti il 20 giugno, e da parte americana la volontà di agire alla luce del sole con un attacco avrebbe scavalcato il rischio di perdere, così facendo, gli accessi a infrastrutture critiche iraniane.

CYBERWARFARE 2
A un cyberattacco potrà seguire reazione NATO

Intanto, il segretario generale della NATO Jens Stoltenberg ha ribadito che tutti i 29 membri dell'organizzazione atlantica risponderanno a un serio cyberattacco contro uno di loro. Perché un tale incidente farebbe scattare un impegno alla difesa collettiva, ovvero l'Articolo 5 del trattato. BBC

La lista europea delle sanzioni per cyberattacchi
Nel mentre, l'ambasciatrice a disposizione per la cyber diplomazia dell'Estonia, Heli Tiirmaa-Klaar, spingeva perché l'Europa riempisse la lista delle sanzioni per cyberattacchi, che al momento è vuota. Anche perché riempirla è più facile a dirsi che a farsi. Il regime delle sanzioni non richiede una attribuzione degli attacchi informatici, spetta ai Paesi decidere se mettere qualcuno nella lista sulla base di informazioni che possono arrivare anche dai report delle società di siucrezza. Ma è possibile basarsi solo su quelli, e su quali basi? E se invece si usano report dell'intelligence, occorrerà allora renderli pubblici?, ragiona la newsletter di Politico.com.

Cosa sono queste sanzioni
Ma di cosa stiamo parlando? A maggio l’Ue ha adottato una nuova legge per imporre sanzioni su persone o entità coinvolte in cyberattacchi contro l’Europa o un suo membro. In particolare su chi sia responsabile di cyberattacchi; su chi abbia fornito assistenza materiale, tecnica o finanziaria agli stessi, o li abbia anche solo incoraggiati; e su chi sia associato alle entità legali sanzionate. Le sanzioni sono pensate per cyberattacchi significativi che costituiscano una minaccia esterna all’Ue a ai suoi membri. Il fatto che siano significativi è determinato da fattori come scala, ampiezza, impatto e severità dei danni, oltre alla quantità di perdite di dati ed economiche (Mayer Brown).
(Invece cosa è un cyber diplomatico ce lo spiega questo vecchio articolo di The Next Web. In pratica chi si occupa di diplomazia e politica nel dominio cyber, poiché differisce in molte questioni fondamentali dalla diplomazia tradizionale, e soprattutto molte di queste questioni non hanno ancora trovato un consenso: tipo, cosa costituisce un attacco alla sicurezza nazionale?).

5G
La decisione su Huawei in arrivo in Gran Bretagna

L’UK deciderà se Huawei sarà esclusa o meno dall’avviamento delle nuove reti 5G entro la fine dell’anno, ha detto la ministra per il digitale, Nicky Morgan. BBC News
Ad aprile l’ex primo ministro Theresa May e il National Security Council avevano deciso di dare il via libera al colosso cinese per il rifornimento di antenne e altri apparati 5G, lasciandolo fuori dalla rete centrale (core), quella più sensibile. Ma la decisione doveva essere confermata da un successivo esame del Dipartimento per il Digitale. E l’insediamento del nuovo premier Boris Johnson potrebbe riavvicinare la posizione britannica su quella americana, che come sappiamo si oppone strenuamente al coinvolgimenti di Huawei nel 5G.
Intanto Huawei ha iniziato la ricerca su 6G (ABC).

TROJAN/ISRAELE
Via libera all’export di tech di sorveglianza

Israele ha allentato i suoi controlli sulla vendita di prodotti e tecnologie di sorveglianza, ha riferito Reuters, ottenendo la conferma di una decisione del ministero della Difesa che risale a un anno fa. E tutto ciò malgrado le critiche di rappresentanti della società civile, che accusano alcune aziende israeliane di esportare tali strumenti in Paesi dove sono usati per reprimere dissidenti e giornalisti, a partire da Arabia Saudita ed Emirati Arabi Uniti. Israele è infatti uno dei principali attori del mercato della sorveglianza, ha scritto lo speciale rapporteur Onu sulla libertà di espressione David Kaye in un report dello scorso giugno (ne avevo scritto qua), e lo stesso Kaye ha chiesto una moratoria sull'export finché non si arrivi a un sistema in grado di tenere in considerazione i diritti umani.
Ora questa notizia non è piaciuta al Commitee to Protect Journalists, organizzazione di difesa della libertà di informazione."Ancora una volta vediamo che la tecnologia israeliana facilita l'abuso della libertà di informazione nel mondo, dando una mano a governi che vogliano tracciare e monitorare giornalisti", ha dichiarato la direttrice advocacy di CPJ Courtney Radsch. "Una industria della sorveglianza non regolata è un male per il giornalismo".
“Aziende israeliane come NSO Group e Verint, o contractor della difesa come Elbit Systems, sono tra i leader mondiali del mercato globale delle cyber armi. Strumenti che sfruttano vulnerabilità nei cellulari e altri prodotti tech per accedere e controllare i loro utenti di nascosto", scrive ancora Reuters.
Di NSO ho scritto più volte, ad esempio qua.

SOCIAL MEDIA
Instagram prepara Threads, l’app che ci seguirà sempre (e sfida e copia ancora Snapchat) – Corriere

AI E FONDI
Quanti soldi arriveranno?

"L'Italia spenderà solo 48 milioni di euro nello sviluppo dell’Intelligenza artificiale a fronte dei miliardi investiti dagli altri Paesi", scrive Repubblica. Dal suo canto, "la Commissione Ue investirà 1,5 miliardi di euro entro il 2020, ossia il 70 % in più rispetto al periodo 2014-2017. Per il prossimo bilancio dell'Ue a lungo termine (2021-2027) la proposta è di investire 9,2 miliardi di euro per il digitale, di cui almeno 2,5 miliardi per l'Ia".

LETTURE

Che cosa alimenta la nostra dipendenza dai social media?
Guardian

Come Amazon e la Silicon Valley hanno sedotto il Pentagono
ProPublica

I cavi sottomarini nuova frontiera di sicurezza: tutti i rischi e le lacune del diritto internazionale - Agenda digitale

Nella Woodstock degli hacker: musica, amore e tecnopolitica - Repubblica sul campo del CCC

I cinque mesi da incubo dell'hacker che difende i diritti umani - Repubblica su Ola Bini

LIBRI

The mastermind di Evan Ratliff
Forse lo avevo già segnalato, ora l’ho letto. Stupefacente. Se vi piace la storia di un programmatore geniale che in una progressiva discesa agli inferi e nella paranoia diventa capo di un cartello internazionale di traffico di antidolorifici, e poi droghe, e traffico d’armi, e oro comprato in nero in Ghana e rivenduto a Hong Kong, e contractor privati che diventano suoi sicari, in un mix economico-criminale che va dai call center israeliani a folli progetti di pesca del tonno in Somalia accordandosi coi pirati, insomma, se vi piace questo, consigliatissimo.

Il 17 settembre esce l'autobiografia di Edward Snowden, il whistleblower che nel 2013 ha svelato i programmi di sorveglianza americana. Si intitola Permanent Record. In italiano, con Longanesi, Errore di sistema.

In Defense of Julian Assange - una raccolta di interventi di varie personalità internazionali contro l’arresto e la possibile estradizione del fondatore di Wikileaks e i rischi che comporta per il giornalismo

SERIE TV
Non è recente, ma in Italia non è così nota come altre. Secret City, serie tv australiana (disponibile su Netflix), è per me la serie più Guerre di Rete che si possa trovare al momento. Thriller geopolitico ambientato a Canberra, sullo sfondo tensioni con Cina e Usa che molto raccontano del complesso rapporto fra Australia e Pechino, giornalismo d’inchiesta (in crisi), servizi segreti, doppi e tripli giochi, cyberattacchi, attivisti e Tor, leggi censorie in nome della sicurezza nazionale (Safer Australia…mmmm), e tante donne protagoniste. Personaggi, ambientazioni e dialoghi decisamente originali. Se vi piace tutto questo mischione la consiglio.

TV ITALIANA

Le puntate della trasmissione RAI di Codice - La vita è digitale condotto da Barbara Carfagna su intelligenza artificiale, social media, sanità digitale, valute digitali ecc le trovate qua


Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! E’ gratuita e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!