[Guerre di Rete - newsletter] La storia delle PEC; Usa, Italia e Huawei; e altro
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
Numero 12 - 25 novembre 2018
Di cosa si parla oggi:
- “attacco alla PEC” in Italia
- Usa, Europa, Italia e Huawei
- Instagram e spam
- Facebook e Parlamenti
- algoritmi, compagnie aeree e babysitter
- e altro
LA STORIA DELLA COMPROMISSIONE DELLE PEC
Avrete ovviamente sentito che c’è stato un grave “attacco alle PEC”, alla posta elettronica certificata di un gestore italiano, con compromissione di 500mila account, di cui 98mila della Pa collegata al Cisr (il Comitato interministeriale per la sicurezza della Repubblica, che comprende i ministeri della Giustizia, dell’Interno, della Difesa, degli Esteri, dell'Economia e dello Sviluppo Economico, la presidenza del Consiglio dei ministri e dell'Autorità delegata), per 3mila domini (fra pubblici e privati) coinvolti, blocco dei tribunali, in particolare dei servizi informatici degli uffici giudiziari dei distretti di Corte di Appello, e conferenza stampa dei vertici della nostra intelligence, secondo la quale sarebbe l’attacco “più grave avvenuto nel 2018".
Tanto grave e inusuale la vicenda, e inusuale anche la conferenza stampa - hanno sottolineato con insistenza i media - da far supporre allora che tutto sia stato ben chiarito. Invece i punti interrogativi sono tanti.
Ripercorriamo brevemente le informazioni. A dare per primo la notizia è questo articolo del Corriere della Sera, il 14 novembre. (Attacco hacker, tribunali in tilt. Timori per le mail dei magistrati) “Nel mirino degli hacker - recita il sommario dell’articolo - il centro dati Telecom di Pomezia, dove in tre edifici l’azienda gestisce 4.200 server. Csm, consiglieri in allarme”. L’articolo spiega che non si tratterebbe di un disservizio del ministero: “ma «probabilmente del furto delle credenziali» della posta certificata gestita da Telecom”. Si bloccano dunque le attività connesse con la PEC, a cominciare dal Processo civile telematico (Pct).
Per saperne qualcosa di più bisognerà però aspettare il 19, quando il Dis, il Dipartimento delle informazioni per la sicurezza, rilascia una conferenza stampa, dopo una riunione del tavolo tecnico del Cisr. Allora si viene a sapere che: l’attacco è stato individuato il 12 novembre; che poco dopo (ore 17-19) è scattato un blocco precauzionale del servizio; che il 13 è stata inviata notifica al CNAIPIC, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche; che sono seguite varie riunione di valutazione, monitoraggio e contenimento di vari organi governativi e di intelligence. Fino ad arrivare alla conferenza stampa con le informazioni citate qui all’inizio sul numero e tipologia di caselle compromesse. Dove si dice anche che l’attacco "non è partito dall'Italia" e che "la polizia postale sta indagando ma non ci sono evidenze di esfiltrazione (sottrazione, ndr) di documenti ma solo di dati personali dei titolari delle Pec" (Adnkronos). Alcune testate presenti alla conferenza stampa, non tutte, precisano che le password erano cifrate (Difesaesicurezza).
Tuttavia non si nomina il fornitore di posta certificata, il che genere una certa confusione tra i lettori. Anche perché l’invito ai singoli utenti sembra essere, urbi et orbi, di cambiare la password (Corriere). “È la prima volta che leggo di un attacco informatico in vasta scala in cui non si dice chi è l'attaccato”, twitta l’ex parlamentare ed ex Presidente del Comitato di Indirizzo dell’Agenzia per l’italia digitale Stefano Quintarelli. “Avete mai letto "trafugate 20 milioni di credenziali da un servizio di social network" senza citarlo? Non capisco. Dire chi è l'attaccato riduce la sicurezza di tutti?”
Mentre passa perlopiù inosservato un comunicato già del 14 novembre del servizio PEC di TI Trust Technologies, controllata di Telecom Italia, intitolato “informativa sulla possibile compromissione delle credenziali personali di accesso al servizio PEC (art. 33 del Regolamento UE 2016/679 GDPR)”. Luogo: Pomezia. A fronte di azioni di controllo - dice l’informativa - “abbiamo individuato una possibile compromissione delle credenziali personali di accesso al servizio PEC, precedentemente acquisite attraverso violazioni messe in atto da soggetti terzi ignoti. Non vi sono comunque evidenze che siano stati violati o prelevati i contenuti delle caselle di PEC”. Segue il consiglio di cambiare password, anche altrove se si usa la stessa su altri servizi. E si specifica che verrà anche fatta comunicazione al Garante della Privacy. La stessa notifica è visibile anche sul sito del ministero dell’Interno. Il riferimento all’art 33 del regolamento GDPR riguarda l’obbligo di notifica di una violazione dei dati personali all’autorità di controllo.
Ma il GDPR prevede anche (art 34) l’obbligo di avvisare senza ingiustificato ritardo anche gli utenti, in caso di simile violazione. A loro una comunicazione è arrivata, inclusi i privati? Il comunicato citato sembra dire di sì (quando parla di comunicazioni inviate in precedenza). Alcuni utenti online segnalano di aver ricevuto una comunicazione anodina che parlava di “rafforzamento delle misure di sicurezza”, ovvero: “La informiamo che per attuare alcune misure tese a rafforzare le misure di sicurezza per l’utilizzo del servizio si e’ reso necessario procedere al reset della sua password di accesso”. Era questa la comunicazione?
Sono una ventina i gestori PEC accreditati da AGID, l’Agenzia per l’Italia Digitale, che deve esercitare attività di vigilanza sulle loro attività. Nel 2018 le caselle PEC si aggirano sugli 9 milioni per oltre 300mila domini. I bandi di gara per servizi di posta elettronica e posta elettronica certificata possono valere milioni di euro, come si vede dai contratti proprio del Ministero di Giustizia.
Ora è stata presentata un’interrogazione parlamentare da un senatore M5S che chiede tra le altre cose (tipo un Commissario straordinario per la cybersicurezza) “quali misure siano state adottate per ridurre gli effetti dell’attacco”. Secondo il comunicato dell’Unione sindacale di base - che ricorda anche un blocco dei servizi informatici della Corte Suprema di Cassazione avvenuto a settembre - bisognerebbe “nazionalizzare e internalizzare i servizi”. L’avvocato Stefano Aterno rilancia sostenendo la necessità di “una società di informatica dedicata alla giustizia, alle investigazioni del Ministero dell’Interno e gestita quindi dallo Stato, che faccia anche formazione, crei software, hardware e che sia comunque più controllata”.
Restano le domande: come (e quando) è avvenuta la violazione di sicurezza? che tipo di falla è stata utilizzata? come nasce il controllo di sicurezza che ha portato a individuare la compromissione? c’erano state avvisaglie prima o di altra natura? come erano cifrate le password? che tipo di comunicazione hanno ricevuto gli utenti interessati?
TRUMP, HUAWEI, L’EUROPA E L’ITALIA
Il governo americano sta facendo pressione su alcuni suoi alleati per evitare che utilizzino le tecnologie fornite da Huawei, il colosso di telecomunicazioni cinese, riferisce il Wall Street Journal. In gioco ci sono i ricchi contratti per il 5G, la nuova generazione di reti cellulari su cui sono riposte molte aspettative anche in termini di servizi forniti. E l’Italia è direttamente chiamata in causa nello scontro geopolitico tra Donald Trump e Xi Jinping. Funzionari governativi americani avrebbero contattato le loro controparti e dirigenti d’azienda in Germania, Giappone e Italia sui rischi di cybersicurezza che ritengono associati alle tecnologie del colosso cinese, e la preoccupazione sarebbe per Paesi che ospitano basi americane. Sarebbero anche disposti a dare un aiuto in cambio dell’abbandono di Huawei come fornitore e partner. Per l’amministrazione Trump, che ha rilanciato la guerra commerciale con la Cina, Huawei avrebbe rapporti stretti coi militari cinesi (rapporti che l’azienda smentisce). Intanto l’Australia (Paese con forti legami di intelligence e politici con gli Usa) ha messo al bando gli apparecchi per il 5G di Huawei. E l’UK sta esaminando la questione (Bloomberg).
Attenzione che come dicevamo in questa faccenda l’Italia è la prima chiamata in causa. Huawei ha varie partnership di lunga durata nel Paese e vari progetti legati al 5G. Ad esempio, ricordava pochi giorni fa Webnews, “ha sostenuto Telecom Italia e Fastweb nel lancio di una delle prime stazioni base 5G “. Con TIM, scrive Datamanager, “ha una collaborazione decennale”. Ma è interessante leggere proprio la prospettiva cinese attraverso la testata Global Times. Se è vero quello che dice il WSJ - scrive la testata cinese - significa che “gli Usa stanno cercando di estendere il fronte della sua campagna contro l’industria hi-tech cinese ai suoi alleati” in una guerra fredda contro la Cina nel suo settore tech. “I Paesi europei hanno accolto bene le tecnologie di Huawei (...) hanno usato i suoi prodotti per anni riconoscendo il suo vantaggio tecnologico”. Malgrado le pressioni Usa, scrive ancora la testata, gli interessi europei sono diversi da quelli americani anche perché l’Europa non ha intenzione di condurre una “competizione strategica con la Cina e la sua preoccupazione si concentra di più sugli interessi commerciali”. Dunque seguire gli Usa nella strada della “guerra fredda tecnologica” con la Cina significherebbe enormi perdite commerciali per i Paesi europei e altri. Sempre Global Times, rispettio alla citata collaborazione con TIM e Fastweb, così scriveva: “Il lancio della prima stazione base 5G in Italia con tecnologie di Huawei segna una pietra miliare nella cooperazione sul 5G tra Cina ed Europa. E serve anche come risposta ad alcuni Paesi occidentali che hanno messo al bando gli apparati cinesi su presunte questioni di sicurezza”.
Sul fronte guerra fredda tech c’è anche un altro progetto. L’amministrazione Trump ha proposto di mettere nuovi limiti all’export americano in Cina su alcune tecnologie avanzate, tra cui aree che includono AI, robotica, veicoli a guida autonoma, computer vision, speech recognition e altri. Da tenere d’occhio perché avrebbe un impatto pesante anche sulle aziende. (Fortune)
INSTAGRAM
Instagram sta prendendo misure contro gli account di persone che usano app per mettere follows e commenti in modo automatizzato. Le misure si traducono in una limitazione di funzionalità. Per farlo sta utilizzando degli strumenti basati sul machine learning, scrive TechCrunch. Tra parentesi, Facebook ha rimosso ben 754 milioni di account falsi solo nell’ultimo trimestre, 800 milioni in quello precedente (Forbes) La maggior parte sono spam.
FACEBOOK E I PARLAMENTI
Mark Zuckerberg è “inseguito” da ben 8 Parlamenti che vorrebbero porgli domande sugli impatti che il suo social network ha sui processi democratici in vari Paesi. Sono UK, Canada, Irlanda, Australia, Argentina, Brasile, Singapore, Lettonia. Facebook nicchia. (TechCrunch)
La strategia di Zuckerberg, liberamente reinterpretata: resistere, resistere, resistere (Intervista alla CNN)
ALGORITMI CONTROVERSI
Questa è una storia interessante. In Gran Bretagna c’è polemica per come alcune compagnie aeree usino strumenti software per individuare famiglie che viaggiano assieme e fare in modo che siedano distanti, a meno che non paghino un extra. (Independent) Ci sarebbe anche l’AI usata per selezionare la baby sitter, e lo fa esaminando i loro social media (Washington Post, a pagamento). E dal fronte Black Mirror, è tutto.
CYBERCRIME
Una società di cyber intelligence avrebbe individuato l’hacker che aveva venduto i database di Dropbox e Myspace nel 2016. Sarebbe un russo di 29 anni. (Zdnet)
- LETTURE -
GIORNALISMO
Uno spaccato sul variegato modello di business di Buzzfeed, testata nativa digitale “di successo”, e insieme sul tentativo di rilancio basato sull’idea di fondersi con altre testate online per poi trattare con big tech (Facebook, Google ecc) in posizione di maggior forza. Da leggere se si lavora nei media (NYT)
FACEBOOK
Perché Facebook per aggiustarsi dovrebbe rifarsi da zero… E dunque Why Facebook Will Never Fix Facebook (Buzzfeed)
Inoltre, difficilmente verrà regolata dai legislatori Usa, perché sono ancora poche le persone a cui davvero importerebbe (Vanity Fair)
CASHLESS?
Come funziona una società quasi priva di cash, di contante? Come la Svezia. Che però, al di là dei vantaggi, si sta anche chiedendo se non sia il caso di esaminare i problemi e i rischi di essere cashless (New York Times)
WHISTLEBLOWING
Reality Winner, la dimenticata whistleblower americana, la sua vita in prigione, la bulimia (The Intercept)
DIRITTI DIGITALI
Libro gratuito da scaricare se interessati ai temi di privacy, digital rights ecc The End of Trust, fatto dalla Electronic Frontier Foundation. Tra gli autori, Doctorow, Coleman, Zuckerman, Snowden...Da leggere
LIBRI
Io non sono qui - Fabio Chiusi
“Una non fiction di taglio pop-alto che parla in modo fresco e divulgativo del rapporto tra uomo e nuove tecnologie, partendo dall'universo di "Black Mirror" e spaziando oltre i suoi confini”
Ti è piaciuta? Inoltrala a chi potrebbe essere interessato.
Per iscriversi a questa newsletter: https://tinyletter.com/carolafrediani
Se vuoi mandarmi suggerimenti basta rispondere.
Buona domenica!