[Guerre di Rete - newsletter] Emoji e giudici; messaggi che non si cancellano; Huawei e Europa e altro
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
Numero 23 - 24 febbraio 2019
Oggi si parla di:
- Emoji e tribunali
- i messaggi diretti su Twitter
- Google e disinformazione
- Huawei e l’Europa
- Microsoft e i militari
- internet delle cose e sorveglianza
- e altro
FACCINE E PROCESSI
Un emoji in tribunale
Emoticon ma soprattutto emoji (la forma grafica delle più vecchie faccine composte con i caratteri) sono citati sempre più spesso in procedimenti giudiziari americani per rafforzare indizi e prove. Tra il 2014 e il 2019 c'è stata una crescita esponenziale dei riferimenti a emoticon e emoji in vicende giudiziarie statunitensi, con un picco nel 2018, secondo una analisi del professore Eric Goldman riportata da The Verge. Ad esempio, l'invio di un messaggio con tre emoji che rappresentavano una corona, un paio di scarpe coi tacchi, e un sacchetto di soldi è stato usato dall'accusa per sostenere che chi l'aveva inviato (a una donna che si prostituiva) era uno sfruttatore.
Se tutto ciò vi lascia così O_O è perché l'interpretazione di un emoticon non è certo una scienza esatta. E ancor meno lo è l'interpretazione (spesso sbagliata) che i singoli danno alle faccine. O la consapevolezza di come possono apparire e significare su diverse piattaforme (a tal proposito, uno studio del 2018). E ancor meno lo è l'interpretazione del significato specifico all'interno di una conversazione a due o più che può avere i suoi propri reconditi canoni e passati riferimenti, del tutto oscuri a terzi.
Insomma, neanche più la grandiosa tragicità della psicopolizia e degli psicoreati di orwelliana memoria possiamo avere in questo nostro mondo distopico. Ma solo il grottesco degli emoji-indizi.
TWITTER E I MESSAGGI DIRETTI
Non si cancellano veramente?
C'era un tempo in cui un utente poteva cancellare non solo i suoi messaggi diretti (DM) di Twitter, quelli nel proprio inbox, ma anche quelli nell'inbox della persona con cui aveva avuto una conversazione (Cnet, archivio). Non è più così da un po’, e ora possono essere cancellati solo i messaggi nella propria casella. Il problema è che, secondo alcuni ricercatori, anche se entrambi i partecipanti alla conversazione eliminano i messaggi, questi non sono cancellati veramente. Anche quando gli account sono stati disattivati. E restano a Twitter per anni.
Come tutto ciò si concilia con il GDPR, il Regolamento europeo sulla privacy, che dà agli utenti il diritto di chiedere la cancellazione dei propri dati? (TechCrunch)
LOTTA ALLA DISINFORMAZIONE
Google, tra sforzi e critiche
Google ha presentato un paper che raccoglie tutti i suoi sforzi e le sue policy per combattere la disinformazione sulle proprie piattaforme, in particolare su Google News, Search, e YouTube. Per disinformazione l'azienda tech intende "sforzi voluti di ingannare e confondere usando la velocità, la scala e le tecnologie del web". Le soluzioni proposte dal colosso - scrive il documento - devono applicarsi in modo che siano comprensibili e prevedibili per gli utenti (questo è un aspetto centrale per tutte le piattaforme, laddove spesso gli utenti si trovano davanti a decisioni - pensiamo alla rimozione di contenuti - che restano incomprensibili e appaiono capricciose). Inoltre, le soluzioni devono essere compatibili con il tipo di automazione che è richiesta per poter operare servizi su scala così vasta. L'approccio di Google si basa dunque su tre strategie: far pesare la qualità nel calcolo automatizzato del ranking; contrastare attori malevoli; dare agli utenti più informazioni di contesto. Un esempio sono alcuni prodotti realizzati ad hoc in YouTube - Top News e Breaking News - che mostrano fonti di informazioni autorevoli in risposta a ricerche degli utenti su temi di attualità. Ricordo che lo scorso mese l'azienda ha cambiato i suoi algoritmi per ridurre la promozione di teorie del complotto nei video su YouTube (ne avevo scritto nella scorsa newsletter).
Un tema che continua a essere al centro dell'agenda mediatica. Una professoressa americana ha intervistato una trentina di terrapiattisti e quasi tutti hanno detto di aver scoperto il tema su YouTube (sono solo 30 però gli intervistati… Inoltre sarebbe utile ripetere le interviste anche per altri ambiti di nicchia non necessariamente complottisti). (Engadget)
Vedi anche questo articolo del NYT
Cancellare o archiviare la disinformazione?
Restando ancora sul tema di come combattere la disinformazione, segnalo un interessante dibattito su Twitter. Alcuni ricercatori di sicurezza si chiedono infatti se non abbia senso mantenere disponibili da qualche parte i contenuti di account chiusi per disinformazione e propaganda di Stato, in modo che ricercatori, giornalisti e investigatori possano accedere a quei dati, fare verifiche e ricerche. (via Alex Stamos).
MICROSOFT E IL VISORE PER I MILITARI
Un gruppo di dipendenti di Microsoft ha inviato una lettera al top management chiedendo di abbandonare un controverso contratto con i militari americani. Questo prevede di dotare l’esercito Usa di oltre 100mila visori di realtà aumentata - la stessa tecnologia alla base dei suoi visori commerciali HoloLens - per il training e il combattimento. Il progetto - un contratto da 479 milioni di dollari per rifornire il sistema di visione aumentata integrato IVAS - dovrebbe infatti “aumentare la capacità letale rafforzando l’abilità di decidere, individuare, e ingaggiare il nemico”.
“Siamo allarmati per il fatto che Microsoft lavori per fornire tecnologie militari all’esercito americano, aiutando il governo di un Paese ad aumentare la capacità letale usando strumenti che abbiamo costruito”, scrivono i dipendenti (qui la lettera). “Strumenti che saranno usati - proseguono i dipendenti - sul campo di battaglia, trasformando il conflitto in un videogame simulato, distanziando ulteriormente i soldati dalla triste realtà della guerra e dello spargimento di sangue”.
Lo scorso giugno alcuni dipendenti dell’azienda di Redmond avevano chiesto di cessare un contratto con ICE, l’agenzia federale che aveva gestito le separazioni delle famiglie di migranti al confine col Messico - anche se il colosso tech aveva risposto che la sua tecnologia non era usata per quel genere di intervento
Se ricordate lo scorso anno anche i dipendenti di Google hanno protestato contro il progetto di fornire al Pentagono una tecnologia di AI (Project Maven) e hanno ottenuto un dietrofront da parte della dirigenza. Sempre più spesso le grandi aziende tecnologiche si devono confrontare col dissenso interno dovuto all’utilizzo delle loro tecnologie, soprattutto per quanto riguarda possibili applicazioni militari.
(The Verge)
SORVEGLIANZA DELLE COSE
Ci siamo dimenticati (di dirvi de) il microfono
Google è stata criticata perché un suo dispositivo, Nest Guard, parte di un sistema di allarme casalingo di nome Nest Secure, contiene un microfono che però non veniva menzionato in nessuna delle specifiche tecniche. Ma molti si sono resi conto della sua presenza quando la stessa Google in un post ha annunciato che il suo Nest Guard avrebbe ricevuto delle funzioni aggiuntive tra cui la possibilità di usare l’assistente vocale, Google Assistant. E che gli utenti avrebbero ricevuto le istruzioni per attivare il microfono. L’azienda si è poi giustificata dicendo che la mancata menzione del microfono nei documenti e nelle specifiche era stata solo un errore, una dimenticanza - del resto lei stessa ha allertato gli utenti annunciando l’arrivo di Google Assistant. Ma le reazioni negative (vedi EFF, ad esempio) alla notizia mostrano la crescente volontà dei consumatori di ricevere informazioni chiare, complete e corrette sulle tecnologie che utilizzano specie laddove queste possano raccogliere dati personali. (Business Insider).
Vedi in italiano Wired
La vicenda mi fa tornare alla mente quel famoso studio intitolato “Don’t Panic. Making Progress on the ‘Going Dark’ debate” (2016) che spiega come l’internet delle cose “abbia il potenziale di cambiare drasticamente la sorveglianza, fornendo più accesso che mai nella storia” alle informazioni sulle persone (vedi anche un sunto qua).
Ci sono tre problemi principali rispetto all’uso di strumenti smart, collegati a internet, nelle nostre case o in attività legate alla nostra sfera personale: 1) un problema di privacy - sappiamo quali dati prendono? a chi li mandano e rivendono? per quanto tempo li tengono? con cosa altro li riaggregano e come li utilizzano? 2) sicurezza - lo strumento può essere usato contro di noi da attori malevoli? (se è smart, se è connesso, la risposta è quasi sempre sì, varia il modo in cui il rischio è mitigato); 3) utilizzi non previsti in origine o non immaginati dagli utenti- come potrà essere usato quello strumento, e/o i dati cui accede, in modo diverso da quello per cui era stato concepito.
Amazon sta già ricevendo richieste da parte delle forze dell’ordine per avere i dati di Echo, l’altoparlante smart che permette di dare ordini all’assistente vocale Alexa. Non solo c’è l’audio registrato sui server - nella speranza che sia stato inconsapevolmente attivato da parole dette dai presenti - ma anche altre possibili informazioni non così evidenti a prima vista. Ad esempio la polizia americana avrebbe chiesto, in un caso, i dati che identificano i cellulari collegati all’altoparlante smart durante un certo periodo (Techcrunch, archivio). Vedi anche “The internet of things is the new surveillance” - Privacy News.
Negli Usa Google sta ricevendo un numero imprecisato di richieste della polizia per accedere ai dati di localizzazione di tutte le persone presenti in una certa area, in un certo momento, anche per delitti non particolarmente efferati, come furti. I dati di Google sono più ampi e accurati di quelli che si possono ricavare dalle telco. La posizione dell’azienda tech sembra essere quella di opporsi a richieste troppo ampie, senza mandato, ma le richieste ci sono e saranno sempre di più (Slate)
Alcune app condividono informazioni personali, anche sulla salute, con Facebook, senza che i loro utenti ne siano al corrente (BGR)
HUAWEI E LA SCIALUPPA EUROPEA
L’Europa sta iniziando a tirare il freno rispetto alla richiesta americana di tenere Huawei fuori dai contratti per le infrastrutture di comunicazione, a cominciare dal 5G.
In Gran Bretagna il cyber zar - Ciaran Martin, a capo del National Cyber Security Center, il centro per la cybersicurezza nazionale, parte dell’intelligence, del GCHQ, l’analogo britannico della Nsa - ha detto a una conferenza a Bruxelles che loro saranno in grado di gestire eventuali rischi di sicurezza legati a Huawei. Che per più di 15 anni l’azienda cinese ha sottoposto i suoi prodotti alla revisione e al controllo delle agenzie inglesi. Che comunque l’azienda non è presente in network sensibili, come quelli del governo. La decisione britannica sulla partecipazione di Huawei nella realizzazione dell’infrastruttura 5G è attesa entro l’anno (NYT). Ma il pressing dell’alleato americano finora non ha prodotto un cambio di rotta - anche se nei giorni scorsi il segretario di Stato Usa Mike Pompeo ha rilanciato pesantemente, dicendo che gli Stati Uniti non condivideranno informazioni con Paesi che usano tecnologie cinesi nei loro sistemi più critici.
Simile atteggiamento anche da parte della Germania che sembra sul punto di dare il via libera a Huawei, riferisce il WSJ. E la posizione dell’Italia, priva di qualsiasi dubbio o titubanza per Huawei, con un tweet del MISE, l’avevamo vista due settimane fa. Anche se successivamente le cose si sono complicate anche da noi, con una interrogazione di un esponente della Lega che arriva a chiedere «una revisione delle norme sulla cybersicurezza, per renderle più stringenti ed escludere società anche solo sospettate di spionaggio, e/o una modifica delle regole sugli appalti, in modo da impedire alle società cinesi di partecipare a progetti per lo sviluppo del 5G» (Il Messaggero).
Interessante, en passant, capire come si concretizzerà una struttura predisposta dal Mise per fare verifiche e controlli sulle tecnologie di tutti gli operatori.
La posizione di questi (importanti) membri europei si puntella su fatto che Huawei offra servizi migliori, tecnologie avanzate e prezzi più bassi. E rimuovere dai propri network i prodotti di questa azienda verrebbe pagato dai singoli Paesi in termini di tempi e costi, e rimanderebbe l’implementazione del 5G - le reti mobili velocissime di nuova generazione - anche di due anni. Inoltre Huawei è già ben insediata in Europa, controllando un terzo del mercato (CNBC). C’è poi il fatto che l’Europa e singoli suoi membri (inclusa la Gran Bretagna alle prese con l’incerto esito della Brexit) non sono così desiderosi come gli Usa di lanciarsi in una guerra commerciale ed economica con la Cina.
“La tecnologia di Huawei è più economica e offre standard tecnologici più elevati”, scrive una articolata analisi della situazione in Germania (in parte trasferibile anche all’Italia) del German Marshall Fund of the United States, sede a Washington, non esattamente una emanazione dell’intelligence cinese per intenderci (e per altro è appena stato preso di mira da hacker, forse russi, vedi più sotto). “Inoltre, in contrasto con gli Usa, tutti gli operatori tedeschi hanno già componenti Huawei o ZTE nelle loro reti. Poiché il network 5G si costruisce sull’infrastruttura 4G, il costo di rimpiazzare componenti cinesi nei network esistenti dovrebbe essere aggiunto all’investimento complessivo. Quindi non sorprende che gli operatori tedeschi non siano molto contenti delle richieste di escludere aziende tech cinesi”.
Per citare questa volta una fonte cinese, “se le autorità americane pensano che le compagnie cinesi siano una minaccia, è tempo che mostrino le prove ad altri Paesi” - (Globaltimes.cn). Vero è che a sentire gli esperti, individuare queste prove non è così semplice, e quello che non c’è oggi potrebbe essere aggiunto domani.
Tutto ciò solleva però un problema più grande, rispetto alla sicurezze e alla verifica di queste tecnologie. Per dirla come Brian Honan, “tutte le apparecchiature, non solo quelle di Huawei, dovrebbero essere analizzate per valutare il rischio. Ingenuo pensare che la Cina sia il solo Stato che possa avvantaggiarsi dei produttori di comunicazioni domestiche”.D’altra parte, scrive il già citato Marshall Fund, le aziende cinesi sono obbligate per legge a fornire informazioni all’intelligence del loro Paese.
Qui una timeline della faccenda Usa-Huawei
Intanto Trump parla di accelerare e passare a un 6G… che conosce solo lui (CNET)
CYBERATTACCHI DI STATO
Cina o Iran? L’attacco al Parlamento australiano
I maggiori partiti politici australiani sono stati presi di mira in un cyberattacco che ha violato i server del Parlamento. Secondo il primo ministro Scott Morrison e i servizi segreti del Paese dietro all’attacco ci sarebbe un governo straniero, si tratterebbe insomma di un “sofisticato attore statale”, una attribuzione che non viene spiegata altrimenti se non adducendo la sofisticazione dell’intrusione (in pratica i profili possibili, secondo loro, sarebbero i top-four, chiamiamoli così, degli hacker di Stato: Usa, Israele, Russia, Cina). Non sarebbero state trovate compromissioni del sistema elettorale. Non è stato divulgato quali dati sarebbero stati violati dagli attaccanti, anche se sui server del Parlamento si trovano innanzi tutto le mail di politici e del loro staff (Sidney Morning Herald).
Sembra di capire che i servizi australiani guardino alla Cina come possibile responsabile. Tuttavia una società di sicurezza americana, ripresa dal WSJ, ha invece ipotizzato una mano iraniana, nascosta dietro al Mabna Insititute, che avrebbe preso di mira vari target negli Stati Uniti e loro alleati. Il Mabna Insitute e suoi nove membri erano già stati incriminati un anno fa dal Dipartimento di Giustizia Usa per spionaggio (DoJ)
Gli australiani però sembrano scettici e insistono con la Cina (SMH)
Attacchi russi in Europa
Microsoft ha invece segnalato una serie di attacchi di phishing contro gruppi e think tank coinvolti nelle prossime elezioni europee. Dietro questi attacchi ci sarebbe il noto gruppo di hacker russi APT28 (che Microsoft chiama Strontium). Quelli degli attacchi ai democratici americani nel 2016, per intenderci. Tra i loro target il German Council on Foreign Relations e gli uffici europei dell’Istituto Aspen e del German Marshall Fund (Zdnet)
Intanto l’Ucraina dice che organizzerà una serie di esercitazioni congiunte con l’Unione europea per rispondere a cyberattacchi russi (Bleeping Computer)
Nordcoreani contro russi?
Il gruppo Lazarus - hacker sospettati di avere stretti legami con Pyongyang - avrebbe preso di mira per la prima volta aziende russe (invece di target americani, sudcoreani ecc). Può darsi che rientri nelle pratiche più strettamente criminali (fare soldi) del gruppo, che è piuttosto variegato, ed è già stato accusato di colpi contro le banche (in particolare la banca del Bangladesh) ed exchange di criptovalute, di diffondere ransomware (tra cui il catastrofico Wannacry), di aver hackerato Sony e via dicendo. E tuttavia l’incursione in terre “amiche” ha lasciato stupiti i ricercatori di Checkpoint che lo hanno segnalato.
Che bello si scannano fra loro, dirà qualcuno. E invece, ripetete dopo di me: uno scontro cyber fra russi e nordcoreani, anche no. Vedere alla voce: “imprevedibili danni collaterali” di due delle entità più scriteriate in materia di cyberguerriglia (Wannacry, NotPetya, remember?) - Dark Reading
Intanto un report di Symantec sostiene che l’attività dei 20 maggiori gruppi di cyberspionaggio stia incrementando (Zdnet)
Mentre secondo un altro report, i gruppi di hacker statali più veloci nel muoversi dentro un sistema una volta che l’hanno violato sarebbero i russi (19 minuti dal brekaout time, la violazione, al movimento laterale), seguono nordcoreani, cinesi, iraniani e gruppi criminali. (Zdnet)
ATTACCHI IN ITALIA
Nei giorni scorsi si è diffusa la notizia di un attacco informatico contro Atm, la società che gestisce il trasporto pubblico a Milano. Si parlava di violazione dei sistemi, di telecamere violate, di muri elettronici. Francamente i dettagli tecnici erano così pochi e incerti che non solo è difficile ricavarne alcun giudizio, ma anche semplicemente capire cosa possa essere successo. Sta di fatto che successivamente Atm ha smentito gran parte di questa ricostruzione specificando che non ci sarebbe stata alcuna violazione di dati, o intrusione nei sistemi, ma che si sarebbe trattato di un semplice DDoS, cioè un attacco che sovraccarica con un eccesso di richieste i server e li manda offline. Dice Atm: "Si precisa innanzitutto che i sistemi informatici di Atm non sono mai stati violati da alcun attacco hacker che abbia toccato il sistema centrale o le telecamere delle metropolitane e della security, né tantomeno altri dati sensibili. Quello che è successo è un “Denial of Service”, DDOS in gergo informatico. In sostanza, l’infrastruttura informatica di Atm ha subito un accesso massivo ostile da numerosi indirizzi Ip provenienti contemporaneamente da diverse parti del mondo, sottoponendo i sistemi informatici ad un rallentamento, dovuto ad un sovraccarico della banda e alla saturazione della connessione".(Milano Today)
In compenso - negli stessi giorni - altre aziende in Italia considerate infrastrutture critiche avrebbero subito degli attacchi informatici di varia natura, anche rilevanti, mi dicono alcune fonti. Vediamo se nei prossimi giorni esce qualcosa di più al riguardo.
APPROFONDIMENTI
Il costo dell’open source
La Rete è stata costruita sul lavoro volontario di sviluppatori open source. Ma ci sono abbastanza risorse per rendere sostenibile ed efficiente il loro lavoro? A partire dalla vicenda del bug in OpenSSL (noto come Heartbleed) un’analisi delle sfide del mondo open source. E’ anche una storia del movimento open source e free software. Bello, lungo, da leggersi in poltrona (Motherboard)
Che c’azzecca lo scandalo Enron con l’AI?
Come la montagna di email aziendali di Enron (ricordate lo scandalo Enron del 2002?) divenute pubbliche per volontà dell’indagine federale sono diventate un corpus di materiale con cui sono state fatte le più svariate ricerche, dall’AI alla statistica. Basti pensare che il prototipo della funzione “smart compose” di Gmail (quella che completa/suggerisce le frasi mentre scrivete) è stato allenato sul corpus Enron. Ma tutte quelle conversazioni scritte disponibili nel pubblico dominio hanno influenzato anche le prime versioni di Siri, l’assistente di Apple. Anche se per qualcuno quelle mail presentano diversi bias…Articolo breve e affascinante (Quartz)
STRUMENTI
OnionShare - uno strumento per trasferire file in modo più sicuro e anonimo rispetto a normali mezzi di comunicazione - ha aggiunto una modalità dropbox, cioè una sorta di cassetta postale in cui le persone possono recapitarti file in modo più sicuro. (Micah Lee)
Ti è piaciuta? Inoltrala a chi potrebbe essere interessato.
Per iscriversi a questa newsletter: https://tinyletter.com/carolafrediani
Se vuoi mandarmi suggerimenti basta rispondere.
Buona domenica!