[Guerre di Rete - newsletter] Disinformazione globale; jailbreak; deepfake

Il nuovo ordine disinformativo globale; deepfake e divulgazione responsabile; cybersicurezza, privacy e molto altro

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.46 - 29 settembre 2019

Di cosa si parla oggi:

- disinformazione globale e locale
- deepfake
- jailbreak e iPhone
- privacy
- esperti, cybersicurezza, divulgazione
- e altro

DISINFORMAZIONE
Ancora reti di spam contro le proteste di Hong Kong

Ricordate l’analisi di una campagna di disinformazione su Twitter contro i manifestanti di Hong Kong di cui avevo scritto un paio di settimane fa? Sempre in questo quadro, è uscita ora un’altra analisi - condotta da Graphika, società che analizza social media - che si appunta soprattutto sui video YouTube. Anche qui si parla di una rete di spam su più piattaforme, a basso impatto, che ha utilizzato account fake o presi da altri utenti per attaccare le proteste. L’aspetto più interessante è la commistione di contenuti clicbait e contenuti politici, il che contribuisce a nascondere il network, a camuffarlo, di qui il soprannnome che gli è stato dato dai ricercatori: Spamouflage (da spam più camouflage) Dragon.

Manifestanti doxati su Telegram
Non solo: abbiamo parlato spesso in questa newsletter di come i manifestanti di Hong Kong facciano uso della app Telegram (e dei suoi canali e gruppi che possono contenere migliaia di membri) per coordinarsi. La stessa Telegram ora è anche usata da utenti pro-Cina per “doxare” (cercare info su internet sull’identità di qualcuno, in genere con intento malevolo) manifestanti, ovvero per identificarli collettivamente e poi segnalarli alle autorità cinesi. C’erano anche canali gestiti dai manifestanti in cui a essere identificati erano i poliziotti. Ma, scrivono gli autori dell’analisi (DFRLab), le implicazioni per i manifestanti sono più rischiose.

L’ordine disinformativo globale: un report
Ma sul tema della disinformazione è appena uscito un report importante ed inquietante “The Global Disinformation Order: 2019 Global Inventory of Organised Social Media Manipulation’, a firma dell’Oxford Internet Institute (OII), che tenta uno sguardo globale sull’uso di algoritmi, automazione e big data per manipolare la sfera pubblica.

Manipolazione organizzata in 70 Paesi
E ci fornisce subito un dato importante: “La manipolazione organizzata dei social media è più che raddoppiata dal 2017, con 70 Paesi che usano propaganda computazionale per manipolare l’opinione pubblica”.
70 Paesi. In ognuno di questi ci sarebbe almeno un’agenzia governativa o un partito che usa i social media per cercare di modellare internamente l’atteggiamento del pubblico. Un’epidemia. Nel 2018 i Paesi erano 48. Nel 2017 erano 28.
E ancora:
- In 45 democrazie, politici e partiti hanno usato strumenti di propaganda computazionale per ammassare finti follower o diffondere media manipolati per incrementare il sostegno elettorale
- In 26 Paesi autoritari entità governative hanno usato la propaganda computazionale come uno strumento di controllo dell’informazione per sopprimere l’opinione pubblica e la libertà di stampa, screditare critici e oppositori, e sovrastare il dissenso
- Le operazioni di influenza straniere sono state esplicitamente attribuite da due social media (Facebook e Twitter) ad almeno sette Paesi: Cina, India, Iran, Pakistan, Russia, Arabia Saudita, Venezuela.
- La Cina è emersa come un attore di primo piano dell’ordine globale della disinformazione, usando social media per arrivare a un pubblico internazionale.
- 25 Paesi stanno lavorando con aziende private o di comunicazione strategica che offrono propaganda computazionale come servizio
- Facebook resta la piattaforma preferita della manipolazione social, con prove di campagne organizzate in 56 Paesi.

Bot, umani o cyborg
Inoltre, nel corso di tre anni i ricercatori hanno tracciato la presenza, in queste campagne, di tre tipi di account: bot, umani e cyborg. I bot sono account altamente automatizzati che imitano umani e sono usati perlopiù per amplificare narrative o annegare il dissenso in una marea di spazzatura. La loro presenza è stata rilevata in 50 Paesi. Tuttavia, e forse è il dato che potrebbe stupire di più, anche più comuni dei bot sono gli account gestiti da umani, che dunque non sono automatizzati; e che ingaggiano conversazioni e repliche, commenti e messaggi privati sui social. Questi sono stati rilevati in 60 Paesi. Invece gli account cyborg, con cui si intende un account che usa sia automazione che controllo umano, sono una minoranza, sebbene presente nell’11 per cento dei Paesi individuati per propaganda computazionale. Ed esiste un’altra piccola parte di account che sono stati rubati o hackerati a qualcuno, una parte che sembra essere comunque di rilevanza sempre più strategica e che mostra la “connessione tra la propaganda computazionale con altre forme tradizionali di cyberattacco”, scrivono i ricercatori. Infine ci sono alcuni account delle “cyber truppe” della propaganda computazionale che sono reali in tutto e per tutto, cioè persone che usano il loro vero account ma che sono connesse a campagne governative (questo è stati rilevato ad esempio in Vietnam e Tagikistan).

In Italia
Nel nostro Paese sono segnalate dal report soprattutto campagne di bot, fatte da partiti/politici, con l’obiettivo principale di distrarre da altri temi, o sottlineare divisioni, con la strategia di amplificare contenuti o di diffondere disinformazione, con “cyber truppe di quantità limitata” (come anche Germania, Austria, Spagna e altri Paesi) che si attivano perlopiù in occasione di elezioni o referendum, e che non fanno operazioni all’estero.
Gli Stati che avrebbero invece delle cyber truppe numerose, sia per operazioni locali che straniere, includono: Cina, Egitto, Iran, Israele, Myanmar, Russia, Arabia Saudita, Siria, Emirati Arabi Uniti, Venezuela, Vietnam, e Stati Uniti.

HONG KONG
Le indicazioni di TikTok ai moderatori

TikTok, il social network sempre più popolare tra utenti sotto i 25 anni e di proprietà dell’azienda cinese ByteDance, ha indicato ai propri moderatori di censurare video che menzionano piazza Tienanmen, l’indipendenza del Tibet, il Falun Gong, secondo dei documenti interni dell’azienda cui il Guardian ha avuto accesso.
Premessa: già da qualche giorno c’era una polemica, sollevata dal WashingtonPost, secondo cui le ricerche su Hong Kong in TikTok facessero emergere pochissimi elementi collegati alle proteste.
Ora queste guide per la moderazione dei contenuti - che risalgono a maggio e che il social ha poi detto essere desuete, aggiungendo che il nuovo approccio cercherà di essere più trasparente, qualsiasi cosa voglia significare - sono interessanti perché evidenziano tra le altre cose il nascosto potere censorio di feed curati algoritmicamente. Nel senso che ci sono violazioni delle linee guida che prevedono il ban; e violazioni più lievi che invece vengono marcate come “visibile a se stesso”, che insomma limitano la distribuzione del contenuto. In tal modo gli utenti fanno fatica a capire se sono stati censurati, depotenziati, resi meno visibili solo per il contenuto politico di quanto postato o meno.
C’è anche un elemento delle linee guida non politico ma ancor più inquietante: nel caso di dubbio rispetto a immagini di “pornografia minorile” (così viene definita da loro) e al dubbio se il soggetto ripreso in una foto abbia o meno 18 anni, “il soggetto va trattato come un adulto”. Invece di fare il contrario, e adottare un principio di precauzione per cui sia meglio considerarlo minore.
Ah e poi ci sono le linee guida localizzate per Paese: ad esempio, in Turchia l’amore LGBT è messo al bando, scrive il giornalista Alex Hern.

Perché TikTok cattura così tanto l’attenzione dei giovani?
Dentro il funzionamento di un social ipnotico, tra machine learning, meme culture, irrilevanti multe della Federal Trade Commission per aver raccolto dati di under 13 senza il consenso dei genitori, e investimenti che hanno portato l’azienda (ByteDance) a essere valutata la cifra stratosferica di 76 miliardi di dollari. - New Yorker

Tra l’altro, ByteDance in questi giorni starebbe tentando di vendere la sua app di news TopBuzz (The Information)

Attacco contro i giovanissimi manifestanti per il clima
Dicevamo dei manifestanti di Hong Kong “doxati”. Ma a essere doxati, e a essere inoltre investiti da frizzi, scherni, insulti, immagini porno e altro sono anche i bambini e ragazzini che stanno partecipando al #ClimateStrike, le manifestazioni per il clima. E noi, che frequentiamo i social media italiani, questo astio querulo, questo gnegnegne che sfiora il cyberbullismo (magari dagli stessi che stanno sempre a invocare leggi contro il cyberbullismo) lo conosciamo bene. BuzzfeedNews racconta in dettaglio alcune di queste storie, e di come i troll abbiano preso di mira una bambina di 11 anni (questo era il suo video). “Mentre la politica del cambiamento climatico inizia a rispecchiare le più nere e ampie tendenze della politica globale, social media “armati” - in forma di intimidazione, meme e disinformazione - sono emersi come il veicolo dominante per i negazionisti”, scrive Buzzfeed.
Credo che la ragione profonda di questa ondata di attacchi personali e scomposti via social (ben diversi da possibili critiche civili sul merito, tono o metodologia di lotta dei manifestanti) derivi dalla disperata ricerca di attenzione di chi si sta vedendo scippare l’agenda mediatica e memetica, oltre che le piazze, da un nugolo di ragazzini globalisti, “buonisti” e ambientalisti coi cartelli. Della serie: ma come si permettono?
E sì, marciano anche a Kabul.
La mappa davvero globale degli eventi #FridaysForFuture

Meme e social ok, non perdiamo di vista però la politica politicante, come ci ricorda Valori in questo articolo: Schiaffo a Greta, favore al nucleare: i governi Ue rinviano e annacquano la finanza green.

SPAGHETTI DEEPFAKE
Il video su Renzi e il dibattito

Noi qui da mesi in questa newsletter di carbonari cyber parliamo di deepfake - di video (ma anche audio) manipolati attraverso tecniche di AI che permettono di far dire o fare a qualcuno cose che non ha mai detto o fatto - ed ecco che i deepfake anche in Italia sono entrati nel mainstream attraverso Striscia La Notizia. Il noto programma tv ha infatti mostrato un video di un finto Renzi, che in un finto fuorionda criticava ex-colleghi e avversari in modo piuttosto sopra le righe, diciamo. Il modo in cui è stato presentato e poi commentato il video potete vederlo direttamente qua sul sito della trasmissione, e valutare voi il grado di ambiguità a cui poteva prestarsi (e può ancora prestarsi per chi oggi atterri su quel link) una simile operazione.
Sta di fatto che le critiche non sono mancate, fra chi rileva come molti telespettatori abbiano creduto che fosse davvero Renzi (tweet di Luca Misculin, o Gaia Berruto), e chi (come Fabio Chiusi) critica l’insostenibile leggerezza di media di portata nazionale (salvo poi far passare sempre il Web per brutto e cattivo).
I have a dream: un programma tv di quella portata e fascia oraria che faccia, passo passo, una lezione su come si analizza un contenuto di quel tipo (ma anche meno complesso), cosa deve farci insospettire, come si fa una verifica. Una lezione di media literacy in prime time.

Google rilascia i suoi deepfake per la ricerca
Intanto, fuori dai media mainstream italiani, le cose si muovono velocemente e su livelli ben più complessi. Google ha annunciato il rilascio di un ampio dataset di deepfake visivi che ha autoprodotto (in un progetto insieme alle università di Monaco e a una università italiana, la Federico II di Napoli). Questo dataset è stato creato a partire dalle facce di attori (consenzienti) da cui sono stati generati migliaia di video. Qua potete vedere come funziona (sopra un video con l’attore, sopra lo stesso modificato).
Dietro c’è lo sforzo di elaborare dei sistemi per individuare i deepfake, soprattutto i futuri deepfake che potrebbero essere davvero difficili da distinguere a occhio nudo.

EPIC JAILBREAK
Ancora un problema di sicurezza per gli iPhone

Un jailbreak epico. Così è stato definito checkm8, un exploit non eliminabile da patch, aggiornamenti software, in grado di produrre un jailbreak su centinaia di milioni di apparecchi iOS (dall’IPhone 4S all’X e 8 Plus). Un jailbreak è un processo che permette di eseguire codice non firmato da Apple sugli iPhone e gli altri dispositivi, consentendo a chi lo fa (volontariamente) di installare applicazioni e codice non autorizzato dalle casa madre. Ma può essere anche usato per installare software malevoli su telefoni altrui. In questo caso specifico il jailbreak non avviene da remoto, ma serve un accesso fisico al dispositivo, che va connesso a un computer. Quindi impatto limitato ad alcuni casi specifici (sorveglianza da parte di famigliari; controlli alle frontiere ecc). C’è chi teme che in futuro qualcuno possa sviluppare una versione da remoto, senza accesso fisico al telefono, scrive Engadget.
Partite da qua (per i tecnici).
Altra analisi tecnica. (Malwarebytes).

IL WTF DELLA SETTIMANA
Messaggi cifrati a rischio?

Oggi inauguro una nuova rubrica, si intitola: Il WTF della settimana.
A inaugurare la rubrica questa notizia. Secondo Bloomberg e The Times, a ottobre UK e Usa firmeranno un trattato che obbligherà Facebook (Whatsapp) e altri social a condividere i messaggi di utenti alla polizia inglese per indagine su crimini gravi.
Ma cosa significa tutto ciò? La polizia sarà in grado di leggere i messaggi cifrati? E come si concilia con la cifratura end-to-end usata in servizi come Whatsapp? E’ stata bucata? C’è una backdoor? Non si capisce, e molti giornalisti e osservatori tech (vedi Whittaker, e altri) commentano infatti perplessi. Acqua calda? Mike Masnick sostiene (con altri) che questa notizia nulla abbia a che fare con la cifratura, che insomma non riguardi backdoor e tanto meno lo scambio e lettura di messaggi cifrati. Insomma, polverone e minestrone mediatico che non aiuta. Per il ricercatore Filippo Valsorda, questo genere di notizie ha l’effetto di far andare le persone su qualche piattaforma non cifrata perché hanno sentito che Whatsapp è insicuro.

CYBERWARFARE
27 paesi hanno firmato una dichiarazione su ciò che è comportamento responsabile nel cyberspazio, con frecciate a Cina e Russia, sottolinea CNN

IRAN/USA
Finti siti e app di lavoro fatti da hacker iraniani per infettare veterani americani – Zdnet

GOOGLE/LAVORO
Un ottantina di lavoratori di Google, impiegati in realtà da un contractor esterno, hanno votato per entrare nello storico sindacato dei metalmeccanici, la United Steelworkers. Non poteva che accadere in quel di Pittsburgh, città storicamente legata alle lotte dei lavoratori – Pittsburgh Cbslocal- In italiano Wired.

DIRITTO OBLIO
- La Corte di giustizia europea ha stabilito che Google ha l’obbligo di applicare il diritto all’oblio in Europa ma non a livello globale (Wired)
-La Corte europea sul diritto all’oblio: una vittoria per la libertà di informazione Valigia Blu

ASSANGE
Spiato in ambasciata

Azienda di sicurezza spagnola che era incaricata di proteggere l’ambasciata ecuadoriana a Londra spiava su Julian Assange (inclusi i suoi incontri con gli avvocati) per conto degli americani, scrive El Pais. C’è una inchiesta sul caso.

PRIVACY
Garante bacchetta la legge concretezza

E’ arrivato il parere non proprio lusinghiero del Garante privacy sulla "legge concretezza" e il decreto attuativo, che prevedono biometria e videosorveglianza generalizzate per il controllo degli accessi del dipendente pubblico, nota l’avvocato Giovanni B. Gallus. Infatti per il garante “l’impiego contestuale di due sistemi di verifica del rispetto dell’orario di lavoro (raccolta di dati biometrici e videosorveglianza) contrasta con l’esigenza di stretta necessità del trattamento rispetto al fine perseguito”. Inoltre, “non può ritenersi in alcun modo conforme al canone di proporzionalità - come declinato dalla giurisprudenza europea e interna – l’ipotizzata introduzione sistematica, generalizzata e indifferenziata per tutte le pubbliche amministrazioni di sistemi di rilevazione biometrica delle presenze”

LA CONVERSAZIONE
Qual è la definizione di terrorismo adottata da Facebook? E soprattutto la definizione di organizzazioni terroristiche? E ancor più, di contenuto terroristico? Sono alcune domande scaturite dall’approfondimento nella scorsa newsletter in una conversazione insieme a Laura Carrer e Rima Sghaier.
Per approfondire:
https://gifct.org/transparency/
Terrorist Definitions and Designations Lists What Technology Companies Need to Know

LETTURE/APPROFONDIMENTI

VIDEO
Le migliori pratiche di sicurezza? A volte vanno ricalibrate

Due leggende della cybersicurezza smontano, ridimensionano, contestualizzano alcuni usuali consigli di cybersicurezza. Un talk molto interessante, un po’ da addetti ai lavori, e a tratti destabilizzante per chi deve tradurre la complessità della cybersicurezza in consigli pratici - vedi ad esempio la parte in cui dicono che installare subito qualsiasi aggiornamento (update) di un software potrebbe non essere sempre la mossa più furba da fare, se si considera il rischio di attacchi attraverso la supply-chain, o semplicemente il fatto che alcuni aggiornamenti all’inizio possano creare dei problemi; ad ogni modo, in generale, se siete un utente medio, non preoccupatevi di questo e correte sempre ad aggiornare le patch di sicurezza e anche il software del cellulare/pc, in particolare iOS, Windows e i browser, ecc.
Alla fine il messaggio forte che se ne ricava è che i consigli di sicurezza vanno sempre modulati sul soggetto da difendere e sulle sue specificità (e ovviamente il suo modello di minaccia). Il che rende davvero arduo il compito di dare consigli generici sul tema. E spiega anche perché, in assenza di specificità e concretezza, gli “esperti” sembrino sempre litigarsi su cosa sia meglio fare.
Ah, anche ridurre la complessità. La complessità è nemica della sicurezza.
VIDEO

CYBERSICUREZZA
I consigli generici degli esperti

Giusto per contraddire subito quanto scritto sopra, vi segnalo un thread Twitter che ha raccolto un po’ di consigli generici di cybersicurezza da dare agli utenti medi. Ognuno poteva dare un solo consiglio, il più importante, in 8 o 9 parole (io traducendo a volte allungo) Quindi, per capirci, siamo alla generalizzazione e alla ipersemplificazione. Ma almeno si guadagna in chiarezza. Dunque eccone alcuni, a mia scelta e liberamente tradotti:
- Non accettare richieste di amicizia alla cieca da la qualunque
- Nessuno ti manderà mai dei soldi, mi spiace
- Se non lo salvi, non diventerà un leak
- Non inserire la tua password dopo aver seguito un link nella prima mail che ti arriva o ti taglio le dita
- Usa un password manager. E’ facile. Mi ringrazierai
- Usa l’autenticazione a due fattori ovunque, anche al citofono
- Piuttosto che riusare le stesse password, scrivile su carta (e tienile al sicuro però, non su un dannato post-it!)
- Non usare software/apparecchi che non si possono aggiornare (sigh)
- Verifica l’identità di chi ti contatta. Better paranoid than sorry.
- Qualcosa di strano? Segnalalo al team della sicurezza in azienda (non temere, non sembra ma sono umani anche loro)

PRIVACY/SORVEGLIANZA
Offuscamento, ovvero la disseminazione di dati spazzatura, fittizi, falsi su di noi, come risposta alla sorveglianza. The MIT Press ripropone in un articolo un adattamento del libro del 2016 di Brunton e Nissenbaum, che era stato tradotto in italiano da Stampa Alternativa come Offuscamento. Manuale di difesa della privacy e della protesta

GEOPOLITECH
La Cina procede più velocemente degli Stati Uniti nella pianificazione e negli investimenti in ricerca critica, e sta producendo più scienziati in AI e quantum computing, dice un rapporto del Council on Foreign Relations.

WHISTLEBLOWING
Come inquadrare i wihistleblowers negli Usa - Jstor Daily

DISINFORMAZIONE
Come è nata la pagina Facebook gestita da ucraini che spingeva propaganda pro-Trump - Popular.info

SORVEGLIANZA
La crescita della sorveglianza di quartiere – Slate

CYBERCRIME
Intervista al cybercriminale che aveva cercato di farmi passare per un trafficante di eroina – imperdibile articolo del giornalista investigativo specializzato in cybercrimine Brian Krebs

PRIVACY - IL PROGETTO
I ragazzi dell’organizzazione Etica Digitale stanno realizzando una guida sulla privacy e su come demolire alcuni miti al riguardo (come il concetto “non ho nulla da nascondere”) La trovate qua, con tanti consigli pratici. Potete anche contribuire sulle voci ancora da scrivere.

CONFERENZE DA NON PERDERE
Ieri c’è stata la conferenza di sicurezza RomaHack, qui trovate lo streaming.
Gli interventi alla conferenza di sicurezza NoHat li trovate ognuno qua in una comoda playlist.
La prossima conferenza di cybersicurezza cui non mancare? HackInBo (9 novembre - Bologna).

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!