[Guerre di Rete - newsletter] Europa, Usa e biometria; telecamere a Roma; attacchi via Wi-Fi; Facebook e altro
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
Numero 31 - 28 aprile 2019
Di cosa si parla oggi:
- di Europa, database e biometria
- dell’uso della biometria da parte delle compagnie aeree Usa
- delle telecamere intelligenti di Roma
- di Facebook, NSA e privacy
- di attacchi via Wi-Fi aziendale
- di cyberwarfare
- 5G
- e altro
DATI E IMPRONTE: COSA C’E’ NEL NUOVO DATABASE EUROPEO
Il 16 aprile il Parlamento europeo ha votato una proposta per connettere una serie di sistemi usati per il controllo delle frontiere, dei migranti, e per il contrasto alla criminalità in un unico database. Questo grande database centralizzato (chiamato Common Identity Repository o CIR) conterrà - scrive Politico, fra le poche testate europee ad essersene occupato in dettaglio - “fino a 300 milioni di record (voci) contenenti dati biografici e biometrici - tra cui impronte digitali, foto, nomi, indirizzi e altre informazioni - su quasi tutti i cittadini non europei nell’area Schengen. E includerà anche dati su alcuni cittadini europei”.
I numeri
Quante persone riguarda dunque (visto che si parla di 300 milioni di record, almeno su Politico; mentre Zdnet dice 350 milioni di persone; e per SchengenVisaInfo si tratterebbe di 150 milioni di persone; infine, 218 milioni di extracomunitari secondo StateWatch)? E di quanti europei si sta parlando?
I diversi sistemi in ballo
In realtà il CIR sembra essere solo un elemento di una serie di misure sulla interoperabilità fra diversi sistemi usati in ambito di sicurezza/controllo alle frontiere. Come scrive infatti lo stesso comunicato del Parlamento europeo del 16 aprile: “I principali elementi della nuova legislazione sono:
- un portale di ricerca europeo per fare ricerche simultanee, invece di ricerche su ogni sistema individuale
- un servizio condiviso di abbinamento (matching) biometrico per incrociare impronte e immagini facciali da diversi sistemi
- un Common identity repository con informazioni biografiche e numeri di passaporti
- un rilevatore di identità multiple, per individuare se la stessa persona è registrata in diversi database sotto multiple identità”.
Dunque, prosegue il comunicato, “i sistemi coperti dalle nuove regole includeranno il sistema d'informazione Schengen (SIS) [il database più utilizzato per la sicurezza interna e la gestione delle frontiere in Europa, per voce della stessa UE, nda], Eurodac [il database con le impronte digitali dei richiedenti asilo, nda], the Visa Information System (VIS) [il sistema che processa dati e decisioni sulle richieste di visti per brevi periodi nell’area Schengen; può eseguire abbinamenti biometrici, soprattutto su impronte digitali, nda]; e tre nuovi sistemi: “Il sistema europeo di informazione sui casellari giudiziali dei cittadini di Paesi terzi (ECRIS-TCN); il sistema di ingressi/uscite (EES)[che registra ingressi/uscite alle frontiere, e si applica a cittadini di Paesi terzi che si recano nell’area Schengen, nda]; e il Sistema europeo di informazione e autorizzazione ai viaggi (ETIAS) [si applicherà ai cittadini di Paesi terzi esenti dall'obbligo di visto che si recano nello spazio Schengen, nda].
Come funzionerà dunque il CIR?
“Il CIR dovrebbe costituire un contenitore condiviso per i dati sull’identità, i dati sui documenti di viaggio, e i dati biometrici di persone registrate nel EES, VIS, ETIAS, Eurodac e ECRIS_TCN” (i sistemi citati sopra) - dice la stessa proposta approvata dal Parlamento.(..) Laddove una polizia di uno Stato Membro non possa identificare una persona per mancanza di documenti o di un documento credibile, o perché ci siano dubbi sui dati forniti, o se la persona non può o vuole cooperare, “la polizia dovrebbe poter interrogare (fare delle query) il CIR per identificare la persona. Per questo scopo, le autorità dovrebbero catturare le impronte digitali usando tecniche di live-scan [acquisendole con sensori, nda], facendo in modo che la procedura sia iniziata in presenza della persona. Tali interrogazioni del CIR non dovrebbero essere permesse con lo scopo di identificare minori di 12 anni, a meno che non sia nel loro miglior interesse”.
Le domande
Tutta questa storia, anche senza correre a parlare di Grande Fratello, lascia però aperte molte domande, dovute anche alla scarsa attenzione mediatica verso il tema, alla sua complessità e alle poche informazioni confermate. (E non rassicura l’affermazione riportata da Politico che si stia andando di corsa e che nessuno in Parlamento sapesse cosa stava votando).
1)Ad esempio, tale sistema potrebbe essere esteso per includere altre banche dati?
Secondo questo rapporto del 2018 dell’ong StateWatch, l’asserzione che il sistema riguardi solo o quasi solo cittadini extracomunitari non è del tutto vera. “Gli attuali piani coinvolgerebbero principalmente cittadini extracomunitari ma una volta che il database UE centralizzato è messo in piedi verrà esteso per includere Prüm ([lo scambio di] dati su registrazione veicoli, DNA e impronte [fra alcuni Paesi europei]), ECRIS (Il sistema europeo di informazione sui casellari giudiziali) e il sistema PNR dei passeggeri UE (Che coprirà voli interni così come quelli che arrivano o vanno fuori dall’UE) - coinvolgendo milioni e milioni di cittadini UE. (...) Il piano è di includere tutti gli attuali e futuri database di Giustizia e Affari interni che saranno processati da eu-LISA [l'agenzia dell'UE per la gestione operativa dei sistemi d'informazione su larga scala nello spazio di libertà, sicurezza e giustizia, nda]”
2) Il sistema potrebbe essere abusato da parte delle forze dell’ordine? O potrebbe generare molti falsi positivi?
È la preoccupazione che era stata espressa dall’organismo consultivo che rappresentava i vari garanti della privacy (il Gruppo dell'articolo 29 per la tutela dei dati, oggi sostituito dal Comitato europeo per la protezione dei dati), secondo il quale i dati raccolti nel database CIR saranno usati per “scopi distinti da quelli della raccolta originaria”.
Secondo Technewsworld, e alcuni pareri che riporta, sarebbe ingenuo pensare che le forze dell’ordine, una volta in possesso dei dati del CIR, non li utilizzino al massimo delle loro potenzialità. E c’è chi, come Cory Doctorow, si chiede se in un’Europa in cui stanno crescendo forze politiche ultranazionaliste e anti-migranti, tale sistema non verrà abusato.(Boing Boing). Dan Gillmor la vede così e anche più nera.
In quanto ai falsi positivi, ricordo che proprio in questi giorni è emerso che il 99,7 per cento delle persone segnalate dal sistema di PNR (il registro coi dati dei passeggeri dei voli aerei) tedesco sono falsi positivi (via la parlamentare Sophie in’t Veld).
Sul PNR vedi archivio Il Sole 24 ore. Di che dati si parla nel caso del PNR (archivio - Bruno Saetta)
3) I dati sono al sicuro?
Una domanda che si pone sempre ma specie quando si concentrano (o si rendono più accessibili) dati delicati come ad esempio quelli biometrici. E che si è posta spesso per il più grande database biometrico statale, quello indiano, Aadhaar. Un sistema che raccoglie impronte, iridi, e facce di 1,2 miliardi di persone (dati aggiornati a ottobre 2018). I dati biometrici sono collegati sia a programmi governativi che a servizi privati, tra cui benefit del welfare, servizi telefonici e bancari, ecc
Su questo sistema sono uscite varie segnalazioni e notizie di vulnerabilità e leak (vedi archivio, TechCrunch e Gizmodo e Zdnet). E questo interessante report su Aadhaar analizza tutti i problemi di privacy/sicurezza.
DATI BIOMETRICI DEL GOVERNO USA UTILIZZATI DALLE LINEE AEREE
Sempre in tema di biometria. Negli Usa una donna è rimasta scioccata quando si è imbarcata su un volo internazionale JetBlue senza dover mostrare nulla, se non la sua faccia a una videocamera. Allora la donna ha iniziato a fare delle domande via Twitter alla compagnia aerea. Avete la mia faccia per identificarmi? Quando ho dato il consenso per questa cosa? Da dove arrivano i dati?
L’azienda ha risposto che le informazioni arrivano dal Dipartimento per la sicurezza interna degli Usa; che loro stessi non avrebbero accesso ai dati ma che questi vengono trasmessi ai database sulla protezione delle frontiere. E che può fare opt-out…. (Ma per cittadini non americani l’opt-out è improbabile, scrive EFF)
Zdnet
Ad oggi, negli Usa, il riconoscimento facciale è usato negli aeroporti di Atlanta, Chicago, Seattle, San Francisco, Las Vegas, Los Angeles, Washington (Dulles e Reagan), Boston, Fort Lauderdale, Houston Hobby, Dallas/Fort Worth, JFK, Miami, San Jose, Orlando, e Detroit; e su Delta, JetBlue, Lufthansa, British Aiways e American Airlines, riferisce Gizmodo.
L’ECUADOR E LE VIDEOCAMERE
Non sono solo i Paesi più tech e industrialmente avanzati a essere interessati a sistemi di controllo digitali. Il NYT in questi giorni è uscito con un reportage su ECU-911, un sistema usato da polizia e intelligence in Ecuador basato su 4300 videocamere collegate a 16 centri di monitoraggio - che però risale al 2011 e, a mio avviso, non sembra essere così avanzato dalla descrizione fatta sul Times (ad esempio i poliziotti possono zoomare sulle immagini ma ancora non sarebbe implementato il riconoscimento facciale). Il sistema è realizzato da due aziende cinesi, C.E.I.E.C. e Huawei. Lo stesso sistema sarebbe stato venduto anche a Venezuela, Bolivia e Angola.
NYT (possibile paywall)
COSA SAPPIAMO DELLE TELECAMERE DI ROMA
Venendo all’Italia. Qualche giorno fa era uscita la notizia che a Roma sarebbero state installate delle videocamere “intelligenti” di Huawei contro i vandali. Scriveva Ansa: “Le nuove telecamere intelligenti, che saranno in grado di seguire eventuali vandali o autori di reati, saranno direttamente collegate con le forze dell'ordine. Non solo, nel caso in cui nelle immagini comparisse una persona con precedenti, le forze dell'ordine saranno in grado di intervenire sul posto ancora con maggiore tempestività”. Alla notizia sono seguite anche alcune polemiche, e polveroni che hanno mischiato la questione 5G con quella delle videocamere con la nuova via della Seta e insomma ci siamo capiti.
Ma in realtà sapiamo che non esiste un contratto di servizio tra Roma Capitale e la società Huawei; che siamo di fronte a una offerta da parte di Huawei, che avrebbe “manifestato la volontà di mettere a disposizione della polizia locale” le sue telecamere di sicurezza “con oneri a proprio carico”; che "Roma Capitale non ha ancora ricevuto nei dettagli la proposta di liberalità della società Huawei"; che Roma Capitale “non dispone di impianti di videosorveglianza con caratteristiche tecniche tali da consentire la possibilità del riconoscimento di persona in base ai tratti somatici – cosiddetto riconoscimento facciale –, né tantomeno il rilevamento della presenza di individui con precedenti penali”; che “gli impianti di videosorveglianza in uso all’ufficio prevenzione generale e soccorso pubblico della questura di Roma non sono dotati di sistemi di intelligenza artificiale per l’analisi dei dati video acquisiti e che il predetto ufficio, per mezzo di una postazione client, può visualizzare le immagini acquisite da alcuni sistemi di videosorveglianza del comune di Roma attestati presso la Sala Sistemi Roma”.
Come sappiamo questi dettagli? Li ha riferiti lo stesso Carlo Sibilia, Sottosegretario di Stato per l'Interno all’interpellanza urgente Magi e Schullian, del 12 aprile
La trovate tutta qua.
TUTTE LE CONTRADDIZIONI DI FACEBOOK
Facebook si trova nel guado fra una multa da 5 miliardi attesa dall’americana Federal Trade Commission a causa della violazione di precedenti accordi sulla privacy nel caso Cambridge Analytica, le indagini in Europa su possibili violazioni del Gdpr e i conti trimestrali (che però per ora tornano).
Corriere
Ma c’è chi è molto scettico sulla determinazione della Data Protection Commission irlandese - l’autorità per la protezione dei dati capofila per molte aziende tech americane stabilitesi nel Paese - a punire Facebook o altri colossi digitali per possibili violazioni. Il motivo? Il peso nell’economia irlandese di questi stessi colossi, scrive un interessante pezzo di Politico (inglese).
Intanto Facebook prosegue con una interessante serie di assunzioni. Direttore delle policy sulla privacy sarà Kevin Bankston, attuale direttore dell’Open Technology Institute, persona molto stimata negli ambietni pro-privacy e già critico di Facebook. Una acquisizione che non stupisce: ricordate (da precedenti newsletter) che il social aveva già assunto altri esponenti del fronte diritti digitali, che dovrebbero aiutare il colosso a fare una spericolata virata in una direzione opposta rispetto a quella attuale, almeno stando alle parole di Zuckerberg.
Tuttavia Facebook ha anche assunto come nuovo general counsel (il Direttore Affari Legali e Societari) Jennifer Newstead, una legale che sotto l’amministrazione Bush ha contribuito a scrivere niente di meno che il Patriot Act, la controversa legge che dopo gli attentati dell’11 settembre ha espanso i poteri del governo gettando le basi per una serie di programmi di sorveglianza successivamente finiti nel mirino di attivisti come Bankston.
La doppia assunzione non deve essere vista solo come una contraddizione. Mostra anche i due fronti su cui si sta muovendo Facebook: i rapporti coi governi (in primis col governo Usa, in cui l’esperienza di una veterana come Newstead è stata vista evidentemente come un plus) e la nuova dichiarata attenzione per la privacy. Una interpretazione che dà anche questo articolo di Politico. Vedi anche Gizmodo.
Alcune reazioni: aperturista (Matt Blaze), scettica (Jason Klint).
PRIVACY E LOTTE LEGALI
NSA
L’Agenzia di sicurezza nazionale americana - più nota anche da noi come NSA - ha raccomandato alla Casa Bianca di abbandonare il programma di sorveglianza che raccoglieva i metadati telefonici - chi chiama o manda messaggi a chi, quando - di milioni di americani, e che venne rivelato da Edward Snowden nel 2013. Secondo fonti del WSJ (paywall), il programma sarebbe ormai solo un fardello “logistico e legale” che supera i “benefici di intelligence”; e del resto la NSA lo aveva già sospeso nei mesi scorsi. Nel 2015 l’USA Freedom Act, anche sull’onda dell’attenzione e delle polemiche successive al NSAgate, aveva messo alcuni paletti.
Ma quando Snowden lo aveva rivelato, la reazione era stata ben diversa: per l’agenzia il programma era necessario per combattere il terrorismo - anche se gli scettici, scrive il WSJ, c’erano già allora dentro l’agenzia. Vedi anche Mashable.
DATI DI POSIZIONE
La Corte Suprema del Massachusetts ha stabilito che l’accesso in tempo reale ai dati di posizione del telefono da parte della polizia viola la ragionevole aspettativa di privacy di una persona. E quindi la polizia deve ottenere un mandato (tranne in caso di emergenze). Boston Globe
Di fatto si tratta di un’espansione di una decisione del 2018 della Corte Suprema degli Usa (vedi Reuters), secondo la quale generalmente il governo ha bisogno di un mandato per raccogliere i dati di localizzazione dei clienti delle compagnie telefoniche. Vedi anche EFF.
SOCIAL MEDIA E SRI LANKA
Bloccare i social media dopo attentati rischia di fare più male che bene, scrive The Verge.
Basta attribuire la causa della violenza ai social, scrive un ricercatore sulla tragedia in Sri Lanka.
DISINFORMAZIONE
Il gruppo dietro alla campagna pro-Brexit in UK, Leave.EU, avrebbe falsificato un video e foto sui migranti poco prima del referendum. Una inchiesta di Channel 4.
CYBERSICUREZZA
ITALIA
Un 24enne milanese aveva ottenuto le credenziali di 1,4 milioni di caselle di posta dei servizi di Libero e Virgilio, attraverso un attacco via rete Wi-FI, dal bar vicino agli uffici di Italiaonline ad Assago. Potrebbe aver agito su commissione, e sarebbe stato contattato su un canale Telegram da mandanti ignoti, scrive il Corriere, specificando che Italiaonline avrebbe subito “ordinato il forzato cambio password delle caselle degli utenti”. La vicenda è sicuramente molto più complessa di quanto emerso finora, e attendiamo di vedere se usciranno più dettagli. Ci sono ad esempio varie incongruenze tra la sofisticazione dell’attacco (di cui la parte Wi-Fi era probabilmente l’ultimo atto) e la grossolanità dei comportamenti del giovane.
SCAM
Occhio alle truffe online che sfruttano l’incendio di Notre-Dame (una analisi di Zerofox)
CRYPTOVALUTE
Il ladro digitale che ha rubato milioni “indovinando” le chiavi private di utenti Ethereum
Wired US
SLACK
Usate Slack? Sappiate che l’azienda ha appena avvisato potenziali investitori del fatto che potrebbe essere un target per attacchi malevoli da parte di Stati o hacker sponsorizzati da Stati. Oltre a ciò va ricordato che non offre cifratura end-to-end.
Motherboard
CYBERWARFARE
TRUMP E LE MAIL DELLA CLINTON - ELEZIONI 2016
Durante la campagna presidenziale Donald Trump aveva ordinato al suo consigliere per la sicurezza nazionale, Michael T. Flynn, di trovare le migliaia di email mancanti dai server di Hillary Clinton (sono le email di quando era segretaria di Stato, e il fatto che usasse un server privato fu oggetto di una indagine Fbi), ha rivelato il rapporto del procuratore speciale Mueller. In pratica mentre su Twitter Trump, di fronte alle notizie del Comitato Nazionale Democratico attaccato da hacker stranieri, commentava esortando gli hacker russi a trovare le 30mila mail mancanti della Clinton (poi avrebbe specificato che scherzava), dietro le quinte si era attivato realmente coi suoi collaboratori per cercarle.
Ad ogni modo ricordiamo che secondo il rapporto Mueller “il governo russo interferì nelle elezioni presidenziali 2016 in modo ampio e sistematico”; che però non si è trovata prova del fatto che i russi e la campagna di Trump abbiano lavorato assieme; e che mentre i russi infiltravano facilmente il Comitato nazionale democratico e il Comitato per la campagna al Congresso, non riuscivano a fare lo stesso per il server personale della Clinton, scrive il NYT.
CYBERWARFARE 2
Un misterioso canale Telegram, Read My Lips, sta diffondendo i segreti di un gruppo di hacker noto come APT34 or OilRig, ritenuto collegato al governo iraniano
Wired
5G e HUAWEI
Via libera da Theresa May e il National Security Council per permettere a Huawei di costruire parti accessorie (“non-core”) dell’infrastruttura 5G del Paese, incluse antenne e altre componenti di rete.
The Verge
Cosa sono le parti core e non-core? “L’infrastruttura centrale (core) è dove stanno informazioni sensibili come i dettagli dei clienti e di pagamento. Gli elementi accessori (non-core) sono le stazioni base e antenne su alberi e tetti, e apparecchiature per la trasmissione, che secondo gli operatori telefonici sono passive poiché i dati ci passano attraverso e non possono essere compromessi”, scrive il Financial Times (possibile paywall).
Alla fine di marzo, Huawei dichiarava di aver firmato 40 contratti commerciali sul 5G con operatori; di aver inviato più di 70mila stazioni base 5G in tutto il mondo, scrive Reuters.
STRUMENTI
Come fare ricerche su Google - un aggiornamento
via Catalin Cimpanu
Per amministratori di sistema:
Logging Made Easy: un progetto open source per monitorare log e individuare attacchi direttamente dalla britannica NCSC, il centro per la cybersicurezza del GCHQ.
IL GIOCHINO
Se state per portare i figli/nipoti/la vecchia zia nerd/o voi stessi a vedere Avengers: Endgame e non li avete fatti giocare col guanto di Thanos di Google non va bene. Rimediate subito. Di che parlo? Cercate Thanos e cliccate sul guanto. Oppure leggete Il Post.
APPROFONDIMENTI
RETE E GOVERNI
Regolamentare Internet. Perché le proposte avanzate dalla politica devono farci paura
Valigia Blu (o il ritorno di Fabio Chiusi)
BIG TECH E POLITICA
Dobbiamo regolare le grandi aziende tech come se fossero servizi pubblici, scrive Nick Srniceck sul Guardian
L’ORRORE DENTRO DI NOI PIU’ CHE DENTRO IL DARK WEB
La terribile dettagliata vicenda di come un uomo del Minnesota abbia provato a ingaggiare un killer nel dark web, di come il killer fosse una truffa (il che ovviamente non stupisce), ma di come l’uomo abbia portato comunque avanti una messinscena sotto gli occhi della polizia per poi uccidere lui la moglie. Ed essere però inchiodato dal leak delle comunicazioni con i sedicenti killer in affitto, e dai suoi stessi dispositivi, malgrado le precauzioni prese. Storiona alla Breaking Bed in cui il dark web sembra essere solo lo specchio di fantasmi che stanno altrove, di Wired US
REPORT
Il rapporto di Mozilla sullo stato di salute di internet. È tutto da leggere ma in pillole:
- Tra le cose positive:
1) Esiste una maggior consapevolezza nel pubblico dell’esigenza di sicurezza e privacy
2) C’è un movimento per costruire una AI più responsabile
3) Le domande sull’impatto di Big Tech sulla società aumentano
- Tra le cose negative:
1) La censura internet sta fiorendo
2) La biometria viene abusata
3) L’AI amplifica le ingiustizie
Qua il report.
PODCAST
In questo podcast Edward Snowden parla a lungo dell’incriminazione di Assange e del report di Mueller
METOO NELLA DATA SCIENCE
Una startup di corsi in data science, Data Camp, è stata travolta da accuse di molestie da parte di un suo dirigente, forse lo stesso Ceo secondo Business Insider. La parte interessante - come mi ha scritto @ricreds, che mi ha segnalato la vicenda - è la reazione della comunità di contributor, con tanto di attività di boicottaggio dei corsi Vedi anche Motherboard. Il Ceo si è poi dimesso (altro articolo Motherboard)
AI
Scienziati di Facebook e dell’università di Tel Aviv hanno sviluppato un metodo di deep learning che converte direttamente l’audio di un cantante nella voce di un altro.
VentureBeat
Qui puoi leggere le passate edizioni https://tinyletter.com/carolafrediani/archive
Come viene fatta questa newsletter (e come leggerla)
Ti è piaciuta? Inoltrala a chi potrebbe essere interessato.
Per iscriversi a questa newsletter: https://tinyletter.com/carolafrediani
Se vuoi mandarmi suggerimenti basta rispondere.
Buona domenica!