[Guerre di Rete - newsletter] Facebook e la sua moneta digitale; Cyber Command e russi; attacchi in Italia e altro
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
Numero 24 - 03 marzo 2019
Oggi si parla di:
- la criptomoneta di Facebook
- Linkedin e le notizie
- Cyber Command e russi
- relazione dei nostri servizi sugli attacchi cyber
- ricerca per immagini
- e molto altro
SOCIAL MEDIA
La criptomoneta di Facebook presto in arrivo?
Facebook sta lavorando per lanciare una criptomoneta per Whatsapp già nel 2019, rivela il NYT (aggiungendo dettagli a precedenti rivelazioni). Il social media sarebbe dunque a buon punto nella costruzione di un sistema di pagamento digitale per l’app di messaggistica, che permetterebbe agli utenti di inviare e ricevere soldi istantaneamente e senza pagare commissioni. La criptomoneta di Facebook - in base a quanto riportato - sarà una stablecoin, cioè sarà agganciata al valore di valute tradizionali per evitare fluttuazioni eccessive, a un basket di valute di diversi Paesi. Il social sarebbe già in una fase di colloqui con alcuni cambiavalute online.
Inutile dire che se confermata questa notizia è piuttosto importante. Sulle conseguenze di questa mossa - che era nell’aria da tempo - ci sono però interpretazioni diverse.
Aiuterà o danneggerà le altre crypto? Farà come ha fatto Whatsapp con la crittografia end-to-end di portare alle masse una tecnologia prima di nicchia?
Le implicazioni su privacy e security di un simile progetto sono enormi - ricorda Alex Stamos - e non tutte così evidenti in questo stadio ancora povero di dettagli. Per questo lo stesso Stamos invita Facebook a una discussione pubblica.
Facebook e la dura realtà della moderazione dei contenuti
Sempre su Facebook, in settimana è uscito un reportage di The Verge sulla moderazione dei contenuti del social media da parte di persone che lavorano per contractor esterni. I moderatori hanno condizioni lavorative meno buone di dipendenti Facebook, e sono sottoposti a un lavoro estremamente stressante. A volte, finiscono con l’adottare gli stessi complottismi che hanno incrociato nella loro attività lavorativa.
Qui invece un reportage di Vanity Fair sulla guerra di Facebook contro troll e hate speech.
Linkedin sospende la funzione Collegamenti che fanno notizia
Sempre sul fronte social, vicenda interessante e che ha avuto poca visibilità. Linkedin ha dovuto sospendere in Europa la funzione Collegamenti che fanno notizia, in cui manda notifiche quando qualcuno dei propri contatti finisce menzionato in un articolo. Questo dopo una serie di reclami alle autorità di protezione dei dati da parte di utenti che sono stati “menzionati” dal social per aver fatto notizia ma in realtà si trattava di uno scambio di persona (e magari l’articolo non era affatto positivo). Tutto ciò ha portato il social a rivedere l’algoritmo alla base della funzione e a sospenderla in Europa. La riporta solo TechCrunch ma è confermata da Linkedin.
Twitter e la possibilità di nascondere risposte
Twitter sta testando la possibilità di nascondere le risposte alle proprie conversazioni, lasciando che gli utenti possano comunque decidere di vedere le risposte nascoste.
TechCrunch
TikTok e i bambini
In Usa la Federal Trade Commission ha multato l’app TikTok per 5,7 milioni di dollari per non aver ottenuto il consenso dei genitori per gli iscritti under 13 e per non aver tutelato i dati dei più piccoli come previsto dalla legge americana COPPA.
Wired e in italiano Corriere
CYBER COMMAND E IRA
Storia e implicazioni dell’attacco americano alla fabbrica di troll russa
Nel giorno delle elezioni di medio termine americane, tenutesi lo scorso novembre, il Cyber Command Usa ha lanciato una campagna offensiva contro l'IRA (Internet Research Agency), la società considerata al servizio del Cremlino e protagonista della campagna di disinformazione russa nelle passate elezioni presidenziali statunitensi.
In pratica il Comando americano per le operazioni cyber avrebbe tenuto offline l'IRA per tutto il giorno delle elezioni, al punto che gli stessi dipendenti si sarebbero lamentati di non poter accedere a internet, ha riferito il Washington Post (dietro paywall). L’obiettivo era “impedire ai russi di mettere in piedi una campagna di disinformazione che gettasse dubbi sui risultati”.
Come nota The Verge, si tratta di una delle campagne cyber più aggressive mai condotte specificatamente dal Cyber Command (le azioni più eclatanti in passato sono state targate Nsa, quindi intelligence), che mostra un cambio deciso di rotta a livello politico (già preannunciato da tempo, come vedremo).
Restano però - nota il professore di studi strategici Thomas Rid - alcune domande: ad esempio, quanto è durata e quando è avvenuta esattamente questa operazione? e cosa ha prodotto esattamente?
Tra le righe il concetto è che l'IRA tutto sommato sia un target facile. Certo, è stata al centro della tempesta mediatica sui tentativi di interferenza russa nel dibattito politico americano, tanto che nel febbraio 2018 il procuratore speciale Robert Mueller ha incriminato 13 russi legati alla società. Ma sappiamo chi sono, dove sono - sottolineano anche da Lawfare blog - mentre altri apparati dell’intelligence russa possono essere molto più difficili da raggiungere.
La nuova strategia offensiva americana nasce operativamente nella primavera del 2018, con la gestione del generale Paul Nakasone e la decisione di elevare lo status del Cyber Command permettendogli di iniziare raid offensivi preventivi (chiamiamoli così) su reti straniere (archivio, NYT).
Nel luglio 2018, Nakasone ha poi annunciato di aver creato una task force speciale per affrontare le minacce russe nel cyberspazio, e una collaborazione tra Nsa e Cyber Command per le elezioni di medio termine di novembre (Staradvertiser).
Infine nell'ottobre 2018 il Cyber Command ha preso di mira singoli operativi russi che agivano online facendogli capire di essere stati individuati, e in questo modo sperando di fare da deterrenza. (Stripes, archivio)
Ora siamo arrivati alla messa offline dell'IRA. Questa progressiva risposta muscolare americana servirà a ridurre i russi a più miti consigli in ambito cyber? O potrebbe produrre una escalation?
L’attività del Cyber Command viene definita, coi soliti eufemismi della realpolitik statale, “persistent engagement”, perché raid preventivi suona male. Ma possiamo anche tradurla (courtesy of Lawfare blog) in “gli Stati continueranno ad hackerarsi per avere un vantaggio operativo gli uni sugli altri”. Dunque “l’operazione potrebbe avere un impatto di lungo termine più sugli Stati Uniti che sulla Russia”.
La cyberhotline
Nel dubbio, gli americani possono sempre contare su una linea rossa cyber tra Mosca e Washington che fa tanto anni '60. Una linea di comunicazione d'emergenza su questioni cyber nota come cyberhotline. Il racconto di questa linea - non bastavano due account Signal? diranno alcuni di voi, lo so - è in questo affascinante reportage di Daily Beast.
In realtà esiste già dal 2013, e finora è stata usata una sola volta. dall'amministrazione Obama, poco prima delle elezioni 2016, quando gli americani temevano che le incursioni russe potessero arrivare a toccare il sistema elettorale. Si compone di una linea voce sicura e di un sistema di messaggistica gestito dal Nuclear Risk Reduction Center (NRRC) al Dipartimento di Stato americano e dal ministero della Difesa russo.
Il centro per la riduzione del rischio nucleare era stato creato nel 1987 per stabilire una comunicazione diretta fra i due Paesi in caso di crisi. Ed è stato "aggiornato" con una cyberhotline, una linea voce tra il coordinatore cyber americano e il vice segretario al consiglio di sicurezza russo. Una linea integrata nel preesistente sistema di comunicazione diretta (la famosa hotline) già implementato dai governi. (comunicato Casa Bianca, archivio).
La replica russa
Ah, en passant, la "fabbrica di troll" disconnessa dagli americani, cioè l'IRA, ha confermato l'operazione statunitense aggiungendo però che sarebbe stata un “completo fallimento”, perché il blocco delle attività sarebbe stato solo parziale. A dirlo è la Federal News Agency - organizzazione considerata legata all’IRA da alcuni osservatori e dal governo Usa - secondo la quale l'attacco americano avrebbe avuto l'obiettivo di bloccare la copertura mediatica in inglese del gruppo (censura insomma, e non prevenzione di interferenze). Sempre secondo i russi, l'accesso alla rete interna dell'IRA sarebbe avvenuto attraverso un iPhone infetto di un dipendente che lo aveva collegato al suo computer - The Daily Beast
SICUREZZA
L’usato insicuro degli apparecchi per estrarre dati dai telefoni
Uno degli strumenti usati da varie polizie per estrarre dati dagli smartphone, Cellbrite UFED, prodotto da una società israeliana, viene rivenduto su eBay a 100 dollari o poco più (il suo prezzo di listino è sui seimila). Quel che è peggio, gli apparecchi usati e rivenduti dagli ex-possessori (anche perché sono usciti nuovi modelli nel mentre) contengono anche dati estratti in passato, sostengono alcuni ricercatori. Un vero e proprio mercato di seconda mano di tecnologie di sorveglianza.
Forbes
CYBERSECURITY AWARENESS
La lista dei Dem per proteggere i dipendenti
Dopo gli attacchi subiti nel 2016, il Partito Democratico americano ha iniziato un programma di rafforzamento della propria cybersicurezza, guidato da Bob Lord, già a capo della sicurezza di Yahoo (dove ha gestito i postumi dei data breach, avvenuti prima del suo arrivo) e altre aziende tech. Tra le varie iniziative adottate dai Democratici, ci sono anche phishing test, simulazioni di attacchi sui dipendenti. Ora invece Lord ha pubblicato una semplice lista di controllo, una serie di misure di base di cyber-igiene che vanno bene per ogni organizzazione (sono cioè necessarie, minime, anche se non sufficienti). Restano una buona indicazione anche per singoli utenti.
Riassumendo:
- usare la cifratura disco su computer e smartphone
- usare estensione HTTPS Everywhere nel browser
- usare password uniche, casuali e lunghe
- usare un password manager
- usare l'autenticazione a due fattori (meglio se il codice sia generato da app e non via sms)
- se si lavora a una campagna politica e si usa Gmail usare il sistema avanzato di protezione
Qui il post su Medium di Lord.
(via Cyberscoop)
STRUMENTI 1
Uno strumento per controllare le estensioni di Chrome
C'è un nuovo strumento gratuito - rilasciato da Duo Security - che permette di fare uno scan delle estensioni del browser Chrome per permettere ai team IT di controllarne la sicurezza. CRXcavator verifica una serie di fattori tra cui i permessi, le chiamate esterne, le librerie di terze parti, la sicurezza dei contenuti e i metadati.(via Darkreading)
STRUMENTI 2
Ricerca immagini, sorpresa Yandex
Nella ricerca inversa di immagini, il motore russo Yandex sembra più accurato di Google, notano alcuni ricercatori (che aggiungono anche qualche consiglio).
via Aric Toler
CRYPTO-GUERRA
Dall'Australia con furore
La scorsa settimana un consorzio di aziende tech guidate da Apple, Google e Facebook ha inviato una lettera al governo australiano chiedendo di rivedere la legge passata a dicembre (di cui avevo scritto in newsletter) che dava ampi poteri al governo nel chiedere alle aziende i dati delle comunicazioni degli utenti. Il timore delle aziende tech è che questa legge apra le porte a backdoor nei dispositivi o servizi.
Fortune
SERVIZI ITALIANI/RELAZIONE AL PARLAMENTO
Hacktivismo presente, cyberspionaggio sfuggente
Allegato alla relazione annuale dei servizi di sicurezza al Parlamento presentata in questi giorni (e che trovate qua) sta il documento di sicurezza nazionale che si occupa di minacce cyber.
Tra i punti salienti del documento, il fatto che dica che nel 2018 il numero complessivo di azioni ostili sia più che quintuplicato rispetto al 2017, prevalentemente in danno dei sistemi informatici di pubbliche amministrazioni centrali e locali (72%). E tuttavia tale indicazione arriva solo dopo aver premesso che "il significativo incremento di attacchi registrati nel 2018 va ascritto principalmente alle maggiori capacità di rilevamento e ad una loro più accurata classificazione e sistematizzazione".
E quindi? Sono aumentati o no gli attacchi? I numeri non sono dati (perdonate il gioco di parole), per "esigenze di riservatezza sull’entità numerica delle minacce rilevate". Ok.
Ad ogni modo, sembra di capire che responsabili di questo aumento siano soprattutto gli hacktivisti e le loro azioni (Anonymous Italia, LulzSec ITA ed AntiSec ITA, citati dalla relazione) che peserebbero per il 66 per cento per numero di azioni di attori ostili. Per quanto appaia una percentuale molto alta - su cui pesa il fatto che le azioni hacktiviste sono sempre visibili, geneticamente visibili, quanto meno alla fine, mentre le azioni di quasi tutti gli altri attori ostili cercano di solito l'invisibilità - resta un grosso punto interrogativo su quel quasi 30 per cento restante composto da un 20 per cento di cyberspionaggio e un 9 per cento di "attori non meglio identificati" (c'è un 5 per cento di cyberterrorismo ma possiamo pure ignorarlo, malgrado la parola erroneamente altisonante).
Quel 30 per cento è quello che fa paura (o dovrebbe farla).
INDIA vs PAKISTAN
Un'analisi del potenziale cyber
Avrete seguito le tensioni fra India e Pakistan a seguito dell'abbattimento di alcuni aerei (il numero mentre scrivo è ancora imprecisato vedi Il Post) E certamente l'ombra del rischio nucleare è quella più inquietante. Ma forse tra le due potenze c'è anche rischio di cyberconflitto? Se lo viete chiesti (numerosi, immagino...), sappiate che "I got you covered".
Il cyberconflitto tra Pakistan e India esiste da tempo e si compone di due gruppi principali: hacker "patriottici" o hacktivisti, il cui rapporto coi rispettivi governi non è chiaro, e le cui azioni sono soprattutto defacement di siti governativi; e APT, gruppi di hacker più organizzati e sofisticati con legami statali. Un esempio del primo tipo sono gli indiani del Mallu Cyber Soldiers (MCS); o i pachistani del Pakistan Cyber Army (PCA). Un esempio del secondo tipo è un APT indiano che ha fatto spionaggio anche su aziende estere ed europee. Non sembra comunque che il potenziale cyber dei due Stati sia troppo preoccupante (anche se per fare danni non è necessario essere al top)
Un recente paper proprio sul tema
Intanto video e account finti sui social alimentano la polarizzazione e le tensioni fra India e Pakistan (Buzzfeed)
CYBERCRIMINE
DDoS in affitto, colpevole un ventenne americano
Un ventenne dell'Illinois si è dichiarato colpevole di aver gestito - con un complice canadese - otto booter DDoS, servizi che affittano botnet, reti di computer, utilizzate per inondare di richieste dei siti target e mandarli offline. Servizi che erano pubblicizzati anche su noti forum underground come Hackforums. Gli inquirenti sono arrivati a lui quando il giovane si è collegato a uno dei server cloud che aveva affittato con l'IP di casa sua; e hanno sequestrato anche i soldi realizzati coi servizi, che all'epoca erano circa 542.000 dollari in bitcoin.
Zdnet
Chiude il miner Coinhive
Uno dei servizi più controversi usati per minare ("estrarre") criptovalute dai computer che visitano siti "affiliati" annuncia la sua imminente chiusura. Coinhive, un miner di monero, chiude i battenti a marzo, e adduce spiegazioni economico-tecniche (il crash del mercato crypto e aggiornamenti tecnici della criptovaluta - in pratica non sarebbe più conveniente minare monero in tal modo). Nato a fine 2017, l'idea alla base del servizio era di offrire ai siti (che dovevano inserire un codice sulle loro pagine) una forma di monetizzazione alternativa alla pubblicità: perché utilizzavano i browser dei loro visitatori per minare monero.
Un servizio - di cui avevo scritto un approfondimento all'epoca - molto contestato, ma soprattutto abusato da attori malevoli che dopo aver hackerato siti web sfruttavano la potenza computazionale di inconsapevoli visitatori per fare soldi.
Zdnet
CRIMINE, SPIE, E POLITICA
Lo strano caso del cyberpoliziotto russo accusato di tradimento
Il colonnello Sergei Mikhailov, ex membro dei servizi russi (Fsb) che si occupava di cybercrimine, e Ruslan Stoyanov, che aveva lavorato prima in polizia e poi a capo del team indagini forensi di Kaspersky Lab ed era piuttosto rispettato dalla comunità internazionale, sono stati condannati in Russia (a 22 e 14 anni) per aver passato informazioni a servizi stranieri, cioè per aver condiviso materiali confidenziali su una indagine su cybercriminali russi (che coinvolgeva un uomo d’affari russo) a una società di sicurezza americana (che per i russi sarebbe contigua all’Fbi). L’analista americana che avrebbe ricevuto i materiali sottolinea che Stoyanov non ha commesso alcun tradimento ma non è stata ascoltata al processo (Daily Beast). Brutta e tortuosa storia su cui ci sono pochi dettagli. Ma qualche ipotesi (tra cui anche uno scontro tra servizi, Fsb e Gru, e una ipotetica fatale “collaborazione” tra Fsb e gli americani) si legge qua
CINA
Credito sociale e acquisto biglietti
La Cina ha impedito per 23 milioni di volte l’acquisto di biglietti di treni o aerei lo scorso anno a causa del basso credito sociale degli acquirenti (dovuto a precedenti debiti o mancati pagamenti), riferisce AP che ha avuto un documento governativo coi dati. Sono 23 milioni di volte e non 23 milioni di persone. (The Verge)
Sul complesso sistema dei crediti sociali vedi Eastwest (archivio)
CRYPTO
Circle, società che controlla l’exchange Poloniex e altri servizi di criptovalute, sta per raccogliere altri 250 milioni di dollari il che potrebbe portare la sua valutazione a 8 miliardi.
-The Information (paywall) via Sludgefeed
LETTURE/APROFONDIMENTI
COMPLOTTISMI E POLITICA
Come la destra estrema in Germania usa gli assurdi complottismi attorno alla sigla americana QAnon per amplificare la propria agenda - The Daily Beast
CYBERPOLITICA 1
Il pericoloso gioco dell'attribuzione
L’attribuzione di incidenti informatici da parte di attori privati e come si incrocia, aiuta, o interferisce con l’attribuzione statale/pubblica (in tal caso, quella americana). Benefici e rischi. Tra i benefici il più ovvio è che l’attribuzione di attacchi fatta da aziende aiuta e rafforza l’eventuale attribuzione fatta da Stati (en passant, si è visto con Wannacry). Tra i rischi, che possa interferire in indagini, che possa allertare gli attaccanti inducendoli a cambiare tattica e infrastrutture, che possa contraddire la versione statale (questo però più che un rischio può essere un meccanismo di controllo), che possano esserci rischi di ritorsioni per le aziende o per singoli che ci lavorano. Di questo tema avevo scritto in Guerre di Rete (il mio libro), e mi viene in mente perché RAND fa lo stesso esempio che avevo fatto.
Tutto ciò infatti sta in questo interessante paper RAND
Che affronta anche l’annosa questione della nomenclatura degli APT (ogni società di ricerca dà nomi diversi agli stessi gruppi)
CYBERPOLITICA 2
La strategia cyber offensiva della Francia
Un’analisi della postura cyber dei nostri cugini che hanno scelto di non mettere sotto il ramo intelligence l’agenzia che si occupa di cybersicurezza del Paese. Inoltre separa difesa (potere civile) da offesa (militari)
Lawfareblog
Ti è piaciuta? Inoltrala a chi potrebbe essere interessato.
Per iscriversi a questa newsletter: https://tinyletter.com/carolafrediani
Se vuoi mandarmi suggerimenti basta rispondere.
Buona domenica!