[Guerre di Rete - newsletter] Cyberattacchi ai giornalisti

E poi il punto sul contact tracing

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.69 - 3 maggio 2020

Oggi si parla di:
- attacchi digitali a giornalisti e attivisti
- contact tracing


Attacchi a giornalisti e attivisti
Oggi, nella Giornata mondiale della libertà di stampa (#WorldPressFreedomDay), è uscito su Valigia Blu un mio lungo reportage su come giornalisti, media e attivisti sono sempre più attaccati online, e in modo più sofisticato, dal phishing a furti d’identità a censura.
Crescono ad esempio gli attacchi di phishing in Azerbaigian, insieme ai DDoS che mandano offline i siti dei media, e i blocchi e le censure governative. Spesso si simulano le identità di attivisti, giornalisti e politici noti per colpire altri attivisti.
A subire attacchi online fu anche Daphne Caruana Galizia, la giornalista maltese uccisa nell’ottobre 2017. Ancora pochi mesi prima subì dei pesanti DDoS al sito e dei tentativi di rubare le credenziali dello stesso. E poi molestie, diffamazione online in gruppi organizzati sui social.
Spesso, l’attacco informatico è una spia, un allerta. Se gli attacchi informatici sono mirati, allora raramente sono fatti isolati. Vuol dire, soprattutto in certi Stati, che potrà seguire un attacco fisico. I DDoS sono frequenti, il phishing sta avendo un revival, ed è più sofisticato, mi hanno detto diversi esperti. E ll'autenticazione a due fattori purtroppo non è sempre sufficiente.
E poi c'è il mercato degli spyware, che si collocano nella fascia alta degli attacchi.
In questo scenario come sono i media? Impreparati. Anche se ci sono differenze. A rischiare sono soprattutto le pubblicazioni indipendenti con meno risorse.
Infine, sul campo saltano molti assunti dati per scontati dagli esperti di cybersicurezza. Modelli di minaccia, tecnologie, discussioni sulla miglior crittografia si infrangono nelle realtà locali.
Ricordando che gli attacchi muovono online perché la Rete è oggi più che mai l'ultima spiaggia, l'estrema risorsa per chi vuole fare informazione o esprimere le proprie idee. Non dimentichiamolo in tempi in cui la si vuole spesso fare il capro espiatorio di altro.

Qua su Valigia Blu potete leggere l’articolo.

CORONAPP E10S03– Decimo Episodio Stagione Terza
App di tracciamento contatti dei contagiati, a che punto siamo?
“Il Consiglio dei ministri ha dato il via libera al decreto legge che contiene, tra le altre cose, il quadro normativo in cui si andrà a inserire l'adozione di Immuni, la app scelta dal governo per fare il tracciamento dei contagiati da coronavirus. Al suo interno ci sono poche novità e molte smentite di alcune delle ipotesi fantasiose fatte circolare in questi giorni dai media, complice una comunicazione istituzionale poco trasparente”, scrive Il Foglio. “La app non sarà obbligatoria, non ci saranno braccialetti elettronici stile arresti domiciliari, chi non la utilizza non subirà alcun tipo di limitazioni”
E ancora: “I dati di prossimità dei dispositivi saranno resi anonimi o, se non è possibile, pseudonimizzati; in ogni caso è esclusa la geolocalizzazione dei singoli utenti”, scrive Altalex. “La conservazione dei dati relativi ai contatti, anche nei cellulari, sarà limitata al tempo strettamente necessario; l'utilizzo dell'applicazione e della piattaforma e i trattamenti dei dati personali saranno interrotti nel momento in cui sarà decretata la cessazione dello stato di emergenza disposto con delibera del Consiglio dei Ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020; entro la medesima data saranno cancellati o resi definitivamente anonimi tutti i dati personali trattati”.

Qua il comunicato del Governo.
Qua il decreto.
Qua il parere del Garante della privacy, che si esprime in modo favorevole. È interessante però una nota del Garante. Quando dice che la norma “non specifica chiaramente se si intenda optare per la conservazione dei dati in forma centralizzata ovvero decentrata. In ogni caso, la centralizzazione richiederebbe in sede attuativa la previsione di misure di sicurezza rafforzate, adeguate alla fattispecie”.

Questo dubbio – ovvero se, in base alla norma, la raccolta e conservazione dati sarà centralizzata o decentralizzata - sembra aleggiare anche in altri commentatori e articoli, da Agenda Digitale a Wired a Key4biz che oltre a ciò specifica: “I dati raccolti da Immuni saranno conservati in parte sul telefonino degli utenti e in parte all’interno di un server italiano della pubblica amministrazione gestito da Sogei, mentre PagoPa avrà il ruolo di sviluppo dell’app e del coordinamento tecnologico insieme al nostro dipartimento per la trasformazione digitale” (mentre Wired qua analizza le relazioni della task force).

Stando alle recenti dichiarazioni politiche (a partire da quelle della ministra Pisano) e alle indiscrezioni giornalistiche uscite nei giorni scorsi, l’Italia avrebbe però ormai svoltato verso un modello decentralizzato.
Lo ribadisce Alessandro Longo sul Sole: “L'app sfrutterà il framework reso disponibile da Google e Apple, che è ispirato al protocollo DP-3T di tipo “decentralizzato” (che fa capo all'Ecole polytechnique fédérale de Lausanne, Svizzera). Ogni dispositivo dotato dell'app genera un proprio Id, un codice identificativo temporaneo, che varia spesso, anonimo e che viene scambiato tramite bluetooth (low energy) con i dispositivi vicini (in base a parametri da fissare, ma Arcuri dice: quelli a meno di due metri per almeno 15 minuti). I cellulari conservano in memoria gli Id degli altri cellulari contattati e i metadati (durata dell'incontro tra i dispositivi, forza del segnale percepito). Tutti questi dati sono crittografati in modo robusto. Per ciascuno di questi contatti, l'app stabilisce un rischio contagio grazie a questi dati, con un algoritmo in via di affinamento. A intervalli di tempo i cellulari scaricano da un server, che da noi sarà a gestione pubblica, gli Id dei cellulari di chi è risultato positivo a un tampone. Se l'app ritrova questo Id all'interno della propria memoria con un livello di rischio giudicato sufficiente, fa apparire una notifica con un messaggio pre-impostato, a cura dell'autorità sanitaria”.

Lo scrive Martina Pennisi sul Corriere: “Quindi: l’app italiana si baserà sulla tecnologia proposta dai due colossi della Silicon Valley. Proposta e imposta, perché solo le applicazioni che useranno le Api distribuite dalla Mela e da BigG potranno sfruttare interamente sugli smartphone iOs e Android il bluetooth per permettere alla persone di scaricare l’app, andare in giro ed essere avvisate nel caso si siano trovate vicino a qualcuno poi rivelatosi positivo. I governi che preferiranno fare da soli per gestire i dati sui loro server — per ora il Regno Unito e Francia, seppur in modi diversi — dovranno trovare degli escamotage tecnici per superare i limiti già emersi a Singapore e in Australia: le app devono essere aperte o essere state aperte prima del blocco dello schermo, la batteria si scarica molto velocemente e i dispositivi iOs non si riconoscono fra loro”

Anche se aggiunge una possibilità che potrebbe spiegare alcuni dei tentennamenti. Ovvero che l’ipotesi centralizzata non sia del tutto sparita dal campo, e tutto dipenda “dal margine di contrattazione [che] c’è con Google e Apple e come evolverà la strategia”.
Magari, aggiungo io, si guarda cosa riesce a spuntare la Francia (e su quello tra poco ci arriviamo).

Quando arriverà l’app? Non prima di metà maggio, forse giugno.
Scrive in un altro articolo Il Sole: “Almeno la roadmap tecnologica è chiara. Apple e Google hanno annunciato di avere distribuito la prima versione Beta delle API agli sviluppatori selezionati dalle autorità sanitarie in diversi paesi, tra cui naturalmente Bending Spoons che è al lavoro per l’app Immuni. In una nota sul loro blog i due colossi hanno precisato che forniranno oggi i primi seed delle API (Application Programming Interface). L'obiettivo è quello di aiutare gli sviluppatori a iniziare i test in previsione del rilascio delle API a metà maggio. Difficile quindi immaginare che l’applicazione Immuni potrà uscire prima di giugno”

I tentennamenti potrebbero anche riguardare la difficoltà di rispondere per tempo a tutta una serie di questioni aperte, che vanno oltre i temi tecnici, alcune delle quali sono affrontate qua su La Stampa.

Intanto nel mondo, e sempre sulle app di contact tracing…
L’app francese si è incartata?

La Francia, che doveva procedere per conto suo con una soluzione centralizzata e l’avevamo lasciata che faceva pressione su Google e Apple per ottenere modifiche che supportassero la sua app StopCovid, si è impantanata. Lo riferisce Mediapart che riporta anche le critiche di ricercatori.
Anche Le Monde parla delle numerose incertezze in cui sarebbe ancora avvolta l’app, oltre alla critiche mosse da gruppi di giornalisti, e altre organizzazioni, tra cui il “rischio di un danno sproporzionato ai diritti e alle libertà in cambio di una efficacia incerta”.
Ma lo scoglio vero restano le limitazioni applicate da Google e Apple all’uso continuo del Bluetooth per le app che vogliano usare modelli centralizzati (raccogliendo più dati), anche se per Le Monde il governo francese starebbe discutendo con le due aziende tech.

TechCrunch dà conto delle incertezze francesi, segnala una lettera di esperti di sicurezza che pone l’accento sui rischi di queste app, e scrive che il governo starebbe scommettendo sull’avere a disposizione operatori sanitari in grado di ricostruire le interazioni sociali dei positivi.

Cresce il fronte decentralizzato
Ricordiamo che Francia e UK sono i due Paesi europei (o ex europei) che hanno scelto in modo più convinto finora la soluzione centralizzata. La Germania, che era di questo gruppo, si è recentemente sfilata a favore del decentralizzato. Mentre a essersi espressi ufficialmente per la soluzione decentralizzata sono Svizzera, Austria, Estonia, Finlandia, e ultima di questi giorni, Irlanda, cui si aggiungerebbero, in modo più ufficioso, Spagna e Italia, nota su Twitter Michale Veale, esponente del fronte decentralizzato e in particolare del progetto DP-3T.

Intanto, negli Usa, ogni Stato o città sembra andare per conto suo anche sulle app. Ma, nota Buzzfeed, il tracciamento contatti manuale resta fondamentale.

Centralizzato o decentralizzato: le differenze 2 la vendetta
Ok, torniamo a centralizzato e decentralizzato (vedi la newsletter della scorsa settimana, e quella prima). Malgrado il parlare che se n’è fatto ho l’impressione che ci sia ancora troppa confusione al riguardo. Ho capito che è sbagliato l’approccio terminologico, perché queste restano definizioni incerte o ambigue, soggette a interpretazioni. Soprattutto da parte di chi non appartiene a un ambito tecnico ma anche, con mia sorpresa, all’interno delle comunità di specialisti. Allora il mio consiglio è: quando qualcuno vi propone un modello, lasciate perdere la definizione di centralizzato o decentralizzato e chiedete semplicemente come funziona in dettaglio. Il modello può chiamarsi anche Vattelapesca, l’importante è che sappia rispondere a una serie di domande precise.
Ho fatto uno specchietto riepilogativo per orientarsi e a cui ho dato dei nomi di fantasia, perché il concetto è non farsi condizionare dalle definizioni sopra citate (per farlo mi aiuto con la valutazione d’impatto sulla protezione dei dati di app per il coronavirus elaborata dalla associazione tedesca FIfF (in inglese The Forum Computer Scientists for Peace and Societal Responsibility, gruppo di 700 professionisti del settore informatico con interesse per gli aspetti sociali delle tecnologie, grazie a Lorenzo Cristofaro per la segnalazione)

  1. Modello PIPPO (qualcuno lo chiama centralizzato, o il modello per cui si sarebbe schierato a un certo punto il consorzio europeo PEPP-PT, che inizialmente era invece aperto sia a soluzioni centralizzate che decentralizzate, o ancora il modello di Singapore):

  • quali dati sono caricati sul server? sul server sono caricati tutti gli eventi di contatto degli ultimi giorni di una persona dopo che risulta infetta (dunque gli identificativi di chi ha incrociato e viene stimato come contatto a rischio)

  • chi informa gli utenti stimati come contatti a rischio? il server (calcola il rischio e manda l’alert)

  • dove avviene l’abbinamento, il match, tra l’ID di un positivo e gli ID di chi gli è stato vicino? Sul server

  • chi genera gli ID temporanei assegnati agli utenti? il server

  1. Modello C-3PO (qualcuno lo chiama decentralizzato con possibile supporto di raccolta dati per studi epidemiologici, o il modello proposto dal gruppo DP-3T. A questo modello si ispira, più o meno, la soluzione Google-Apple):

  • quali dati sono caricati sul server? sul server sono caricati tutti gli identificativi temporanei degli ultimi giorni della persona che è risultata infetta

  • chi informa gli utenti stimati come contatti a rischio? lo smartphone (calcola il rischio e avvisa l’utente in locale)

  • dove avviene l’abbinamento, il match, tra ID di un positivo e gli ID di chi gli è stato vicino? Sul telefono

  • chi genere gli ID temporanei assegnati agli utenti? lo smartphone

  • possono essere aggiunti altri dati se l’utente vuole? sì, il sistema prevede anche una possibile funzione di donazione dati, dove l’utente può fornire altre informazioni che supportino ricerche epidemiologiche

  1. Modello HARLOCK (qualcuno lo chiama decentralizzato puro):

- è uguale a sopra (a C-3PO) ma non supporta ricerche epidemiologiche, no donazione di ulteriori dati.

Ora, quali sono i rischi e le vulnerabilità per questi modelli? Li elenca la già citata Valutazione d’impatto sulla protezione dei dati di app per il coronavirus dell’associazione tedesca:

Tra quelli considerati DI RISCHIO ELEVATO:

  1. Falsi positivi
    Se la app prescrive/impone autoisolamento, questo corrisponde a una decisione automatizzata con conseguenze legali. Quando è un problema? Ovviamente nel caso di falsi positivi (che potrebbero essere tanti, e comunque non è chiaro quanti). Perché gli utenti potrebbero doversi “isolare per errore, anche più volte in successione, con importanti conseguenze sociali ed economiche per loro”, scrive il documento. E dunque questo rischio si può mitigare “con una efficace struttura per fare appello. Se non ci fosse questa possibilità, l’accettazione del sistema potrebbe diminuire perché le sue decisioni potrebbero essere percepite come arbitrarie”.

  2. Profiling comportamentale e valutazione del livello di compliance degli utenti infetti
    “Gli operatori possono usare la cronologia contatti degli utenti infetti per eseguire una valutazione comportamentale:Quanti contatti ha avuto con altri? Si è presa dei rischi o è stata negligente?” Questa valutazione comportamentale può essere fatta come studio epidemiologico generale, non individuale. Ma in una variante centralizzata potrebbe anche deanonimizare le identità temporanee degli utenti infetti, scrive lo studio.

  3. Deanonimizzazione degli utenti
    Il rischio di deanonimizzazione per alcuni utenti è presente in entrambi i modelli. Ma nel contesto di una architettura centralizzata PEPP-PT, in cui gli ID temporanei sono assegnati dal server centrale, gli operatori possono deanonimizzare tutti gli utenti attraverso i metadati delle connessioni; e possono deanonimizzare l’intera cronologia dei contatti degli utenti che sono stati testati come positivi.
    “Per questo la decisione di varianti centralizzate o decentralizzate ha notevoli implicazioni sulla protezione dei dati”.

Ci sono anche altri rischi elencati nel documento, ma quelli sopra descritti sono i più rilevanti.

Mentre però sulle app nazionali c’è un percorso avviato, un dibattito pubblico e un adeguato livello di attenzione, tutto attorno sembrano proliferare soluzioni locali, specifiche, fai-da-te, lanciate da aziende e altre organizzazioni (l’ultima il braccialetto da spiaggia), che rischiano di diventare un Far West rispetto alle indicazioni di privacy e security by design date dall’Europa. E questo rischio se non sbaglio è citato anche nel comunicato del Garante.

CONTATTI
Sono tempi straordinari e difficili. Per questo ho deciso di ristrutturare i modi in cui posso essere contattata a seconda delle diverse esigenze. Se qualcuno vuole contattarmi in modo anonimo (o, quanto meno, con una maggiore probabilità di privacy e senza dover passare per una casella email o un account legato a un telefono) può farlo andando su https://contact.carolafrediani.org/#/ (se da dentro la newsletter non si apre link basta riscriverlo nel browser).

È una piattaforma open source creata da Globaleaks (che ringrazio! in particolare un grande grazie a Giovanni Pellerano) che permette a giornalisti, media e organizzazioni (qua ce ne sono alcune) di ricevere segnalazioni e a chi segnala di proteggere la propria privacy (qui un articolo in inglese su chi sono, che fanno).

Oppure potete scrivermi una mail con PGP. O contattarmi solo su Signal +14783944294. O scrivermi su Wire a @carolaf. O, se non avete particolari esigenze di privacy, molto semplicemente, rispondere a questa newsletter.

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!