[Guerre di Rete - newsletter] Operazione contro sito di abusi; social e la moderazione dei politici; Hong Kong e aziende

E poi spyware francesi; videosorveglianza; criptowars e altro

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.48 - 20 ottobre 2019

Oggi si parla di:
- come è stato chiuso il più grande sito di pedopornografia delle darknet
- Hong Kong, Cina, Occidente e aziende, tra politiche duali e contraddizioni
- spyware francesi e mediorientali
- Twitter, i social e la moderazione dei politici
- videosorveglianza lavoratori
- e molto altro

Attenzione oggi si apre con un tema delicato. Valutate nel caso se saltare alla notizia dopo.
OPERAZIONE CONTRO ABUSI SU BAMBINI
Così è stato chiuso il più grande sito di pedopornografia delle darknet

Un 23enne sudcoreano, Jong Woo Son, gestiva il più grande mercato di pedopornografia delle darknet (le reti che permettono di comunicare in modo anonimo ma anche di realizzare siti non localizzabili), direttamente dalla sua camera. Finché non è stato arrestato, insieme a decine di altre persone in tutto il mondo, in una delle più importanti operazioni di polizia contro lo sfruttamento sessuale e la violenza su minori, spesso bambini piccolissimi. Il cuore dell’operazione (gestita da Usa, UK, Germania e Corea del Sud) è avvenuto nel marzo 2018, quando è stato sequestrato il sito in inglese Welcome To Video, che conteneva oltre 200mila filmati unici (metà dei quali non erano già noti, non erano cioè ripresi da altri siti) di abusi sessuali su minori e bambini, e che ha processato 7300 transazioni bitcoin per un controvalore di 730mila dollari.
Il motivo per cui solo in questi giorni è stato comunicato il sequestro del sito è che le autorità si sono probabilmente prese il tempo per indagare e incriminare i complici del 23enne e molti utenti del sito. Ci sono 337 sospetti arrestati, in gran parte in Corea del Sud ma anche in Europa e Stati Uniti. Arresti anche in Italia stando a quanto emergerebbe dal comunicato/banner dell’operazione. Il dato più importante è che l’indagine ha permesso di individuare e salvare 23 bambini abusati da utenti del sito.

Il sito stava nelle darknet, era accessibile solo via Tor browser e il suo reale indirizzo IP doveva essere oscurato (poi vedremo che così non è stato). Gli utenti potevano comprare i video o una sorta di abbonamento annuale di circa 300 dollari. Ma potevano anche guadagnare punti caricando loro stessi dei video o invitando nuovi membri. La sua homepage aveva una scritta particolarmente agghiacciante: “Non caricate porno per adulti”. Solo minori dunque. E alcune delle ricerche principali erano per bimbi di 4 o anche 2 anni...

Come è stato sequestrato? Secondo le carte giudiziarie, nel settembre 2017 un agente dell’IRS (l’agenzia americana che fa indagini fiscali ma spesso si occupa anche di inchieste in questo campo) avrebbe notato che l’amministratore del sito aveva fatto un errore di misconfigurazione che rivelava il suo reale indirizzo IP sudcoreano, e in definitiva l’indirizzo IP dell’amministratore. In pratica, stando letteralmente a quanto dichiarato nell’incriminazione (pag 10), gli investigatori avrebbero ispezionato più volte il codice del sito (con un’operazione equivalente a: tasto destro, Vedi codice sorgente). Sempre secondo l’incriminazione, l’agente avrebbe notato che il sito non nascondeva due dei suoi IP, che sono stati facilmente ricondotti con la collaborazione dell’Isp locale a una abitazione. Quando è stata perquisita, è stato trovato il server del sito, nella camera da letto di Jong Woo Son.
Nel frattempo altri agenti, supportati da Chainalysis, una società di analisi delle operazioni sulla blockchain (il database pubblico, distribuito e condiviso che registra tutte le transazioni bitcoin), portavano avanti una mappatura degli indirizzi bitcoin usati dal sito per ricevere soldi, e degli indirizzi di chi pagava. È stata questa analisi che ha permesso di arrivare a un consistente numero di utenti del sito. Prima sono stati identificati gli indirizzi controllati dal sito. Una volta individuato questo cluster, hanno tracciato una parte degli utenti che avevano acquistato video o abbonamenti (vedi pag 16-17 e altre di una mozione di uno degli accusati).
“Welcome To Video riceveva fondi da diversi exchange (cambiavalute online, ndr)”, scrive il comunicato di Chainalysis. Questo primo dato avrebbe permesso agli investigatori di “contattare gli exchange per più informazioni sugli indirizzi che inviavano soldi al sito. Poiché di solito i cambiavalute online eseguono processi di verifica dell’identità del cliente (Know Your Customer o KYC), molti hanno potuto fornire copie di documenti di identità, indirizzi e altre transazioni rilevanti associate agli account”. In molti casi tali info sono state sufficienti a identificare i clienti del sito. In altri casi sono state arricchite con altre indagini che hanno fatto leva su intelligence open source (info ricavate da materiali pubblici) e tecniche investigative standard.
Dunque no exploit e no attacchi: almeno stando a quanto emerso finora e alle carte dell’accusa, si tratterebbe di una indagine che ha sfruttato dritte iniziali (da un condannato per pedofilia in UK), indagini sottocopertura (agenti che hanno fatto acquisti per poi analizzare il movimento dei soldi), capacità di individuare errori di opsec, di operational security, dei criminali (e questi, specie quando si mette in piedi un’articolata attività cybecriminale con giro di soldi, ci sono quasi sempre – qui la mia presentazione (video e slides) al riguardo), analisi della blockchain e collaborazione fra polizie di Paesi diversi.
Purtroppo, mi aveva raccontato un investigatore tempo fa in una inchiesta che avevo fatto sul tema (attenzione: contenuti sensibili), “la maggioranza di abusi viene scambiata online gratuitamente e avviene ovunque, tende a usare qualsiasi canale: web, chat IRC, newsgroup, reti peer-to-peer”.
Comunicato Dipartimento di Giustizia
Decreto sequestro account di criptovalute
Incriminazione Jong Woo Son

CYBER GEOPOLITICS
Hong Kong sta facendo esplodere le contraddizioni di alcune aziende tech
Le dimostrazioni a Hong Kong e il braccio di ferro tra manifestanti e Cina è tracimato al punto da investire anche le aziende tech occidentali (e non solo). C'è tanta roba da dire, e lo farò elencando semplicemente i vari casi.
APPLE - Ha rimosso una app, HKmap.live, dal suo App Store giorni dopo averla autorizzata (e prima ancora negata), con cui i manifestanti segnavano su una mappa della città la posizione della polizia e la chiusura di strade durante le manifestazioni. La decisione della azienda di Cupertino arriva dopo un duro editoriale di People's Daily, giornale del partito comunista cinese, in cui Apple era accusata di aiutare proteste violente. L'ad Tim Cook ha spiegato in una lettera ai dipendenti (finita sui media) di aver deciso di rimuovere la app dopo aver ricevuto notizie "credibili" dalle autorità sul fatto che fosse usata anche per colpire singoli agenti (The Verge 1). Ma per HKMaplive questa affermazione sarebbe priva di fondamento.
Apple ha però anche rimosso dalla versione cinese del suo App Store la app di una autorevole testata, Quartz, che copriva le manifestazioni e dava info su come aggirare la censura internet, perché la app "includeva contenuti illegali in Cina" (The Verge 2).
Negli stessi giorni Apple rimuoveva pure l'emoji della bandiera di Taiwan da iOS13 per gli utenti di Hong Kong e Macau (The Verge 3).
Intanto, giovedì, l’ad Tim Cook ha incontrato il capo dell’ente cinese che regola il mercato cinese (State Administration for Market Regulation). Secondo lo stesso ente, si è discusso di investimenti in Cina, protezione dei diritti dei consumatori e responsabilità sociale d’impresa. (Abacus).
GOOGLE - Ha sospeso da Google Play una app Android di nome The Revolution of Our Times che permetteva agli utenti di impersonare un manifestante di Hong Kong, di dover prendere delle decisioni, di rischiare prigione, morte o estradizione. Aveva un intento educativo e l'80 per cento dei guadagni della app andavano a un fondo legale. Google l'ha rimossa dopo poco dicendo che violava la sua policy che vieta agli sviluppatori di capitalizzare su eventi sensibili come conflitti o tragedie con un gioco. (Hong Kong Free Press)
Tutto ciò ha però prodotto una reazione interna da parte dei dipendenti, che ancora in questi ultimi giorni hanno diffuso messaggi di solidarietà ai manifestanti di Hong Kong all’interno delle mailing list, e degli strumenti di comunicazione aziendali e perfino in un incontro all hands (in cui si confrontano executives e dipendenti). Secondo i critici interni, Google avrebbe dovuto gestire diversamente quel caso (Vox).
ACTIVISION BLIZZARD - ha sospeso per un anno dai tornei di Hearthstone il giocatore Chung “Blitzchung” Ng Wai che aveva manifestato platealmente il proprio appoggio alle proteste di Hong Kong. "Un comportamento giudicato inappropriato da Blizzard che lo ha anche rimosso dalla competizione Grandmasters negandogli i premi in denaro già vinti". (Tom's Hardware). In realtà poi l'azienda - investita da non poche proteste - ha corretto il tiro, riducendo a sei mesi la sospensione e assegnando al giocatore i premi vinti. (Everyeye).

Aziende pro-manifestanti di Hong Kong
Eppure c'è anche la Silicon Valley che invece si schiera con Hong Kong (ovviamente in gioco ci sono business e interessi diversi). Ad ogni modo, l'azienda svedese-americana Yubico, che produce chiavi di sicurezza hardware, ne ha spedite 500 gratis agli attivisti di Hong Kong. (Thestandnews) (Si tratta di dispositivi che si inseriscono nella porta USB e servono per loggarsi nei propri account in modo più sicuro, dato che un attaccante dovrebbe riuscire ad avere anche quell'apparecchio fisico per entrare. Non è proprio banale capire quale usare per le proprie esigenze, qua un articolo di The Verge fa il punto). Yubico ha già fatto iniziative simili in passato, lavorando ad esempio con giornalisti sulla cybersicurezza così come con Ong dedite alla difesa di una Rete libera e aperta. (Technology Review).

Nsa pro-manifestanti
Nel mentre il direttore della Nsa (Agenzia di sicurezza nazionale) americana, Paul Nakasone, ha bacchettato il governo cinese dicendo che "ha sovvertito le attività dei manifestanti per la democrazia in Hong Kong con finti post sui social media, mostrando il modo in cui Pechino "usa l'informazione come un'arma". (Cyberscoop ) Vedi anche: La Stampa.

Le aziende tech cinesi e la tecnica dello sdoppiamento
A tal proposito: ma come si comportano invece le aziende tech e social cinesi con ambizioni globali? Si barcamenano tra censura ed espansione sui mercati occidentali, cercando il più possibile di sdoppiarsi. Anche perché il sistema cinese non è sempre così monolitico come si immagina. Per le aziende però c'è un punto di partenza: devono investire in personale e tecnologie per filtrare e moderare contenuti in modo da essere conformi alle regole governative, altrimenti rischiano di essere multate o perdere le licenze. Ma nel momento in cui aziende cinesi cercano di espandersi all'estero emergono ovviamente alcuni problemi. Come spiega Lotus Ruan su The Asia Dialogue, WeChat - il più popolare social/piattaforma di messaggistica/sistema di pagamento cinese del gigante tech Tencent - è stata limitata nella sua avanzata globale anche a causa della censura che, in modo più o meno voluto, ha colpito utenti internazionali, e non solo quelli per la versione cinese, Weixin. (Techinasia) Divisi fra ragioni di business e necessità di seguire le leggi del Paese, vari servizi hanno adottato una politica duale. Ad esempio Wechat implementerebbe un meccanismo "una app, due sistemi" (report di Citizen Lab del 2016) in cui la censura colpisce solo account registrati con un numero di telefono cinese. ByteDance, invece, ha creato due app separate, TikTok per il mercato estero e solo accessibile fuori dalla Cina, e Douyin solo per gli app store cinesi.
Non solo. Nel tentativo di contrastare le critiche occidentali e di non essere stritolata nello scontro geopolitico Usa-Cina, TikTok vuole formare un nuovo comitato di esperti (reclutati tra studi legali americani ed ex politici) per scrivere delle policy di moderazione dei contenuti e aumentare la trasparenza su questi processi, ma anche cercare la quadra su sicurezza minori, discorsi d’odio, disinformazioni, bullismo e censura. (TechCrunch)
Le aziende occidentali seguiranno dunque questo modello duale?

Possibile impatto della legge sulla cybersecurity in Cina
Alla base delle regolazione di internet in Cina sta la Cybersecurity Law del 2016, entrata pienamente in vigore a fine 2018. L'obiettivo centrale è permettere al governo di poter avere accesso a una massiccia quantità di dati trasmessi su reti cinesi o conservati su server in Cina. E questo si applica anche alle aziende straniere. Secondo una recente analisi di ChinaLawBlog, questo significa che le aziende straniere non saranno più in grado di isolare i propri dati con delle VPN, con possibili implicazioni legali.

Il report ASPI
Engineering global consent - caso di studio su come funziona l’economia basata sui dati della Cina e la sua espansione globale.

SPYWARE FRANCESI
I servizi d’Oltralpe reclutano sviluppatori di trojan
I servizi segreti interni francesi, la DGSI (Direzione generale della sicurezza interna) stanno reclutando su Linkedin sviluppatori di trojan o spyware "per la lotta al terrorismo". Richiesta nazionalità francese. I nuovi assunti lavoreranno nell'ambito del Servizio Tecnico Nazionale dei Captatori Giudiziari (STNCJ). Questo servizio è nato nel 2017 con l'obiettivo di sviluppare internamente dei trojan di Stato (quelli che da noi, quando sono usati nelle indagini, si chiamano captatori informatici, e che in Italia sono comprati da privati), anche se il funzionamento e il campo d'azione di questo nuovo servizio restavano segreti (e anche se nel 2018 erano previsti solo tre posti). In Francia dal 2011 l'uso dei captatori è consentito in indagini giudiziarie non solo in casi di terrorismo ma anche criminalità organizzata, traffico di droga e armi e altri reati, notava Le Monde nel 2017, aggiungendo che ogni spyware doveva essere vagliato dalla Agenzia nazionale per la sicurezza dei sistemi informatici (ANSSI) per verificare che non avesse funzionalità nascoste.

Oltre alla questione delle regole sullo sviluppo e la funzionalità di simili software, resta poi l'annoso problema dell'accesso ai dati ottenuti con vari strumenti di indagine da parte di insider. Nel 2018 è stato condannato un ex agente della DGSI per aver venduto documenti sensibili a cybercriminali nei mercati delle darknet (il cosiddetto Dark Web). L'uomo, che usava lo pseudonimo Haurus sul sito Black Hand, offriva anche un servizio di localizzazione di apparecchi mobili solo attraverso il numero di telefono da monitorare, sfruttando risorse dei servizi. (Zdnet, archivio)

FINFISHER
Intanto in Germania si parla ancora del produttore di spyware FinFisher (che tra l’altro fu hackerato nel 2014), con inchieste e azioni legali incrociate (Bloomberg). 

CYBERSPIE IN MEDIORIENTE
Gli Emirati rubano hacker a Israele

Mentre, secondo un articolo della testata israeliana Yediot, la società emiratina di cybersicurezza (difensiva e offensiva) Dark Matter - definita nell’articolo molto vicina all’intelligence degli EAU - starebbe reclutando israeliani usciti dall’unità 8200 dell’intelligence (quella dedicata a intercettazioni di comunicazioni elettroniche e sviluppo di attacchi informatici); ma anche ex dipendenti del vendor israeliano di spyware NSO. Tanto che, sostiene l’articolo, NSO avrebbe assunto investigatori privati per seguire i suoi ex dipendenti. Questi sarebbero andati a lavorare in una sussidiaria di Cipro di Dark Matter. Il tutto grazie a offerte da capogiro.
ht Raphael Sutter

FACEBOOK, TWITTER E POLITICI
No a censura, sì a ridurre l’esposizione
Twitter ha infine preso una decisione su come comportarsi rispetto ai tweet di politici che violano le sue regole, con frasi che rasentano o sconfinano del tutto nei discorsi d'odio e altre amenità. La linea adottata è la seguente: tendenzialmente non li censurerà, in quanto di interesse pubblico; ma cercherà di limitarne la viralità e l'amplificazione, impedendo agli utenti di mettere un Mi Piace, di ritwittarli, o di replicare. Tuttavia le persone potranno citare il tweet con un commento (ovvero retweet con commento - qui la spiegazione di Twitter). In pratica se è un politico a fare tweet che violano le policy di Twitter, questi restano online ma sono messi dietro a un avviso che fornisce spiegazioni rispetto alla violazione e permette agli utenti di cliccare su un link e vederne il contenuto. Con dei limiti rispetto a quanto si potranno amplificare.
È chiaramente una soluzione di compromesso, che alcuni giudicano poco coraggiosa (impedire i retweet diretti wow, commenta qualcuno), e altri un passo in avanti rispetto a una questione complessa che non può portare una azienda a censurare il discorso dei politici, ma può almeno ridurne l'amplificazione algoritmica.
"E' importante distinguere free speech e free reach: non abbiamo bisogno di nuove regole per la libertà di espressione, ma per l’amplificazione algoritmica", ha twittato il giornalista e ricercatore di AlgorithmWatch Fabio Chiusi su questo tema nei giorni precedenti. In quel caso il riferimento era a una lettera aperta da parte di alcuni rappresentanti europei dei media del servizio pubblico, secondo i quali servirebbe una legge per dare più rilevanza sui social ai contenuti da loro prodotti. Perché il pluralismo dei media sarebbe messo in pericolo dai nuovi censori, gli algoritmi delle piattaforme.
Ad ogni modo, c’è stato anche un discusso discorso pro-libertà di espressione pronunciato da Mark Zuckerberg alla Georgetown University. Sulle fake news la sua posizione sembra essere la seguente: “Ritengo che le persone debbano decidere cosa è credibile, e non le aziende tech. Quando non è assolutamente chiaro cosa fare, dovremmo peccare per eccesso di libertà di espressione”. (Axios)

Non esiste una soluzione finale per la disinformazione e se esiste è l'anticamera dell'autoritarismo
C'è un ottimo articolo sul tema a firma di Matteo Nebbiai su Treccani. Mi verrebbe voglia di copia-incollarlo tutto ma mi contengo e ne cito una parte: "Più che dalle false notizie, oggi la democrazia sembra minacciata da una frettolosa regolazione dei social network. Non è l’ingordigia dei monopolisti, ma l’imprudenza dei legislatori che spinge verso tecniche di controllo sempre più fallibili. Pretendere un diverso tipo di moderazione è doveroso; creare strumenti legislativi che limitano diritti fondamentali per rimediare a danni ipotetici è un errore. Urge applicare ai social network il principio di precauzione: i filtri algoritmici potrebbero avere costi ben più alti degli attraenti benefici, quindi è meglio un eccesso di falsi negativi che un eccesso di falsi positivi".
E ancora: "Come assicurare che la moderazione online non indebolisca le democrazie europee? Ecco alcune proposte. Da una parte, le aziende dovrebbero: rendere pubblici i criteri usati per moderare i contenuti, senza aspettare i leak di qualche giornale; mantenere attivi dei moderatori umani, gli unici a poter sopperire agli errori dell’intelligenza artificiale; stabilire procedure standard che permettano di “fare ricorso” contro una decisione ritenuta scorretta (Facebook sembra essere a buon punto, anche se qualcuno solleva già delle criticità). Si dovrebbero introdurre opzioni che permettano agli utenti di filtrare autonomamente il flusso di contenuti: la soglia di sopportazione e la partigianeria delle notizie dovrebbero essere scelte gestite dai singoli individui, non da governi o aziende. Il regolatore, dall’altro lato, ha il compito di tracciare una linea netta su cosa è legale e cosa no, limitando criteri che creano zone grigie, come quelli della “verità” di una notizia. Il ricorso alla censura, sia da parte della legge che dei moderatori, dovrebbe essere raro, giustificato da evidenze solide, fondato su fonti chiare e coerente con le scelte prese in precedenza".

Facebook e i curdi
A dimostrazione della necessità di criteri chiari con cui applicare scelte di moderazione è la notizia che Facebook sta oscurando le pagine a favore dei curdi, inclusi documentari. Vedi:
- Facebook oscura le pagine pro curdi. Censurato anche il docufilm sul conflitto - Avvenire
“Tra gli altri, Facebook ha oscurato la pagina di Binxet - Sotto il Confine, documentario di Luigi D’Alife (con la voce narrante di Elio Germano) che racconta la resistenza del Rojava e le responsabilità dell'Europa nelle atrocità del confine turco-siriano”, scrive Il manifesto
- Perché Facebook sta bannando molte pagine italiane pro-curde? - Vice Italia
- L’inchino dello Stato-Facebook al Sultano - ancora il manifesto 2

SOCIAL DISINFO
Campagne di disinformazione in West Papua
Alcuni ricercatori hanno individuato almeno due campagne di disinformazione sui social, in lingua inglese e indirizzate a un pubblico internazionale, ma con oggetto la West Papua (Indonesia). L’intento delle campagne sarebbe stato di promuovere una narrativa a favore del governo indonesiano e contro le forze indipendentiste della West Papua, da tempo oggetto di repressione. In alcuni casi il contenuto presentato - da una serie di siti, poi rilanciati da account social - era vero come contenuto fattuale, ma fortemente piegato in favore del governo indonesiano. In altri casi, il contenuto era falso.
Notare bene: quando ad agosto ci sono stati episodi di violenza nella West Papua e richieste di indipendenza, il governo ha bloccato l’accesso a internet in varie parti della provincia, dicendo di farlo per fermare i messaggi d’odio e le fake news…Bellingcat
Why is West Papua in Constant Turmoil? -The Diplomat

AUDIO
Deepfake, manipolazioni e target

Di disinformazione, anzi, di disordine informativo e lotta politica ho parlato all’Internet Festival di Pisa. Si può ascoltare qua l’intervento.
In tale intervento a un certo punto racconto come secondo vari osservatori e report la diffusione di contenuti manipolati sia un rischio soprattutto per le categorie vulnerabili più che per i politici di primo piano. A dimostrazione ricordo che qualche giorno fa è uscita una ricerca della società Deeptrace sui deepfake (audio/video manipolati con tecniche di AI, ne scrivo da mesi in newsletter) che fa capire proprio questo concetto. Infatti ad oggi la maggior parte dei video deepfake sono usati per creare porno non consensuale e colpiscono in maggioranza donne (Vice).
Vedi anche: Deepfake. Quelli che ci mettono la faccia. Di un altro – Repubblica (paywall)

AI E SOCIETA'
Come gli algoritmi puniscono i poveri
Il Guardian investiga l’oscuro sviluppo del welfare digitale, in cui vengono utilizzati dei software per automatizzare e ottimizzare processi che sovrintendono alla concessione di benefici, sussidi, aiuti, assistenza. Con la conseguenza di generare molti errori e tagli che spesso sono difficili da contrastare. The Guardian

PRIVACY/STUDENTI
Sempre più college negli Usa stanno usando società di consulenza per raccogliere e analizzare dati sugli studenti e potenziali iscritti. Come? Tracciando le loro attività online e formulando un punteggio predittivo per misurare la probabilità e appetibilità della loro iscrizione. - Washington Post

GAMING E FILTRI
Microsoft ha iniziato a testare dei filtri per i messaggi di Xbox Live per bloccare i contenuti tossici - Webnews

SOCIETA’
Niente verifica dell’età per i siti per adulti in Gran Bretagna

E’ stata infine seppellita la proposta UK - strombazzata per mesi - di mettere un controllo dell’età per i siti per adulti. Era evidente dall’inizio che non fosse un’idea praticabile. Amen. (Tuttavia Londra continua a portare avanti altre proposte legate al suo controverso Online Harms White Paper. Vedremo che fine faranno) - The Verge

5G E GERMANIA
La Germania ha stilato le sue regole per l’implementazione del 5G, tra standard di sicurezza e certificazioni dei vendor. Ma non esclude esplicitamente Huawei.
Reuters

5G E INDIA
Intanto l’India si prepara per il 5G e Huawei si dice pronta a firmare col Paese un accordo di “no backdoor”. Cosa voglia dire in termini pratici non è chiaro però. Probabilmente possibilità di fare audit del codice e produzione parziale in loco. - Caixinglobal

CRYPTOWARS
La crittografia è la nuova battaglia per la privacy
Edward Snowden, il whistleblower che ha rivelato i programmi di sorveglianza americani, analizza le recenti pressioni di Usa, Australia e UK su Facebook affinché non estenda la cifratura end-to-end (quella in cui solo mittente e destinatario hanno le chiavi per cifrare e decifrare i messaggi) alla sua messaggistica (per altro come sappiamo in Whatsapp, di proprietà di Facebook, questa è già implementata da tempo). Oppure la estenda ma solo introducendo delle backdoor nei sistemi che permettano fondamentalmente di aggirarla. La motivazione è avere visibilità sulle comunicazioni di terroristi, pedofili e via dicendo. Snowden ricorda come proprio la diffusione della cifratura end-to-end abbia in realtà limitato la sorveglianza di massa. "La cifratura end-to-end permette alle aziende come Facebook, Google o Apple di proteggere i loro utenti dal loro stesso controllo: assicurando di non avere più le chiavi per le nostre conversazioni più private, queste aziende diventano meno un occhio onnisciente e più un messaggero bendato" (…). E questo obbligherebbe la sorveglianza governativa a diventare più mirata e metodica, invece che essere indiscriminata e universale. Guardian

Melbourne, abbiamo un problema
Venti di censura in Australia, con una conferenza cyber accusata di censurare talk su whistleblowing e di critica a leggi che limitino la cifratura (Guardian)

LIBRA
Libra, la struttura operativa c’è ma la criptovaluta non sarà pronta per il 2020 - Corriere
Tutti i problemi di Libra, la criptovaluta di Facebook
(Los Angeles Times)
Intanto la costituzione formale della Libra Association va avanti. Chi ci sta e chi no (Wired Italia)

VIDEOSORVEGLIANZA
La Corte europea dei diritti dell’uomo (CEDU) ha dato il via libera con una sentenza alla videosorveglianza dei lavoratori?
Non è proprio così.
Il caso è quello di un manager spagnolo che ha filmato di nascosto dei dipendenti sospettati di rubare la merce. Non poteva farlo? Per la Corte - è una sentenza dei giorni scorsi - sarebbe possibile ad alcune specifiche condizioni: se la misura è giustificata dal ragionevole sospetto che fossero commessi più illeciti (mancavano soldi); se la videosorveglianza aveva uno scopo preciso; ed era limitata nel tempo (10 giorni). Inoltre nel caso in questione il luogo era aperto al pubblico. (vedi anche Il Sole)

Lo spiegone del Garante: non può essere prassi
La videosorveglianza occulta sul posto di lavoro è “ammessa solo in quanto extrema ratio, a fronte di “gravi illeciti”, non potendo ricorrere a modalità alternative, e con modalità spazio-temporali tali da limitare al massimo l’incidenza del controllo sul lavoratore. Non può dunque diventare una prassi ordinaria”. Così il garante della Privacy ha commentato la sentenza della Corte di Strasburgo. Insomma vede il bicchiere mezzo pieno.
Ad ogni modo vale la pena vedere, nella sentenza, anche le opinioni dissenzienti di tre giudici che sono interessanti; tra le loro obiezioni, che non si sia valutata sufficientemente la possibilità di usare un sistema meno invasivo sulla vita privata dei dipendenti.

STRUMENTI
Se ti lascio mi cancello veramente?
Molte aziende usano i cosiddetti dark pattern (trucchi di design e di interfaccia per indirizzare gli utenti verso i desiderata aziendali) in modo da rendere difficile cancellare il proprio account. Il sito JustDelete.me è una raccolta di link ai principali servizi online che permette di andare direttamente alla pagina di cancellazione/disattivazione. Inoltre mostra per ogni servizio il grado di difficoltà necessario a cancellarsi. In alcuni casi, più che difficile sembra impossibile. E sarete sorpresi dallo scoprire quali account sono di fatto ineliminabili.
JustDeleteMe

SILICON VALLATA
Intervista a Mazzilli, ex-ingegnere di Facebook: «Così ho scritto il nuovo codice di Rousseau» - Corriere (Paywall)
“Abbiamo, infatti, progettato il login di Rousseau in modo che possa essere usato per accedere ad altri siti. Tecnicamente questa caratteristica si chiama Single Sign On. Così come quando vi iscrivete a Netflix o Spotify potete utilizzare la vostra identità Facebook, così l’identità Rousseau (sempre certificata con documento) potrà essere la chiave d’accesso ad altri strumenti e servizi legati alla cittadinanza digitale”.

Facebook e il caso di diffamazione contro la leader austriaca dei Verdi – Valigia Blu

LETTURE

PER VOI GIOVANI

Cosa diavolo sono i TransCyberian CryptoParty? Sebbene già il nome mi farebbe aderire a occhi chiusi, per fortuna c’è Riccardo Coluccini che ce lo spiega. In pratica il concetto è: riprendersi internet a suon di musica noise.
Rave dedicati alla crittografia il cui motto è: "Dance like no one is watching, encrypt like everyone is”.
“Il concetto alla base della TransCyberian è quello di collegare la cultura del rave e del noise con la cultura della crittografia, e di trasmettere concetti di base di privacy e sicurezza attraverso buona musica e workshop strani”
I’m in, Vice (italiano)

ATTIVISMO
Il segreto della crescita del movimento a difesa del clima, Extinction Rebellion (XR): una struttura decentralizzata, distribuita in comunità specifiche, anche professionali, che rendono più semplice la partecipazione. Wired Uk

GIORNALISMO, TECH ED ETICA
Come i giornalisti possono fare informazione in modo responsabile su video e foto manipolate. Una guida di First Draft.
Prima di decidere se coprire un contenuto manipolato, abbiamo valutato quanto si è diffuso? C’è una questione di tipping point, di punto critico: se non l’ha superato, darne notizia rischia di dargli ossigeno e amplificazione; se invece l’ha già superato, ha senso fare debunking.
Se includo un contenuto manipolato in un servizio, abbiamo pensato a selezionarne solo una clip o immagini invece di linkare tutto l’originale?
Se parliamo di un sito che fa disinformazione, possiamo riportarlo ma senza amplificarlo? Mettiamo uno screenshot e scriviamo solo il link per trasparenza ma non lo rendiamo linkabile? Mettiamo un no-follow link che limita amplificazione?
Possiamo aggiungere delle grafiche al contenuto manipolato in modo da informare chiaramente e visivamente da subito che è tale?
Consideriamo anche il linguaggio da usare. Manipolato, alterato, distorto meglio che un generico falso.
Abbiamo evitato di ripetere o amplificare contenuti tossici nei titoli?
Abbiamo fornito tutto il contesto?
Abbiamo evitato di deridere chi ci ha creduto? E via dicendo

LIKE E SOCIAL
Nascondere il numero complessivo di like nei post (su cui è in corso in alcuni Paesi una sperimentazione di Facebook) potrebbe mettere più in relazione popolarità e qualità, sostiene questo articolo di Nieman Lab.

CENSURA
I dieci paesi più censurati al mondo, secondo l’ultimo report del Committee to Protect Journalists (CPJ). Li elenco in ordine: Eritrea, Corea del Nord, Turkmenistan, Arabia Saudita, Cina, Vietnam, Iran, Guinea Equatoriale, Belarus (Bielorussia), Cuba - Ejo

AI
Il futuro dell’intelligenza artificiale, secondo l’uomo che l’ha inventata
Yann LeCun, uno dei padri del deep learning, racconta storia, ostacoli e prospettive della tecnologia che ha cambiato il mondo. - Esquire (Italiano)

CYBERSICUREZZA E MARITTIMO
Per anni si sono temuti attacchi informatici alle navi in grado di dirottarle, ma ad oggi il rischio cyber più preoccupante per il marittimo sembra essere ancora e niente di meno che il phishing, email con malware che danneggiano i sistemi, né più né meno che per noi comuni mortali che stanno a terra. Che a ben pensarci era un destino già scritto nel nome di quel tipo di frode. Battute a parte, bel post che fa il punto (e ridimensiona) alcune paure sul settore. Maritime Security

CYBERSICUREZZA IN AZIENDA
Nella gestione del cyber rischio, le organizzazioni più sofisticate si stanno muovendo da un modello basato sulla maturità a un approccio basato sul rischio, dice un report McKinsey.

RICONOSCIMENTO FACCIALE
Avevo raccontato in precedenti newsletter la storia di MegaFace, un database creato con facce di utenti che avevano pubblicato su Flickr (in licenza Creative Commons) le proprie foto anni fa, e che è stato utilizzato da varie aziende tech per allenare algoritmi di riconoscimento facciale, che possono essere usati per gli scopi più diversi, dall’identificare terroristi e criminali a sorvegliare minoranze etniche. E non dovevano chiedere il permesso degli utenti. Ora però alcune persone presenti nel database ma residenti in Illinois, che gode di una legge a tutela dei dati biometrici, potrebbero fare causa.NYT

LIBRO
La guerra dei metalli rari. Il lato oscuro della transizione energetica digitale, Guillaume Pitron, LUISS University Pres
“Tutte le tecnologie “verdi” (pale eoliche, pannelli solari e veicoli elettrici) e tutti i settori più strategici dell’economia del futuro (robotica, intelligenza artificiale e self-driving cars) hanno una componente essenziale nei cosiddetti metalli rari, contenuti nelle rocce terrestri in proporzioni ridotte. Attorno al loro controllo e sfruttamento rischia di scatenarsi una guerra che potrebbe avere per l’umanità conseguenze drammatiche. Guillaume Pitron racconta il lato oscuro della transizione energetica e digitale, i rischi geopolitici e il disastro ecologico annunciato” - una presentazione a Bookcity.

EDIT: è stato aggiunto un “non potendo ricorrere a modalità alternative” al commento del Garante per precisare meglio la sua posizione.

Ringraziamenti: grazie a tutti quelli che mi hanno segnalato “cose”. Anche quello che non è finito in questo numero della newsletter mi è comunque stato utile.


Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!