[Guerre di Rete - newsletter] Operazioni di influenza e media; Twitter, spionaggio, spyware

E come proteggersi se sei un giornalista

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.51 - 17 novembre 2019

Oggi si parla di:
- disinformazione e operazioni di influenza: uno studio su GRU
- Twitter, Arabia Saudita, lo spionaggio di attivisti
- come proteggersi se sei un giornalista
- cyberattacchi e prestazioni sanitarie
- dati, salute e Google
- telefonini e perquisizioni
- e altro

Think tanks, social e media: come funziona un’operazione di influenza - uno studio
La disinformazione e la propaganda politica attuata da una agenzia di intelligence sulla scena internazionale. Si parla di questo in uno studio molto interessante dello Stanford Internet Observatory (dove lavora anche l’ex responsabile della sicurezza Facebook, Alex Stamos). C’è ovviamente un caveat importante da fare. Lo studio è decisamente americano (gli autori hanno fatto la ricerca su richiesta della stessa Commissione sull’Intelligence del Senato Usa usando un set di dati relativi ai post sui social media forniti da Facebook alla stessa Commissione). E l’oggetto di indagine è la propaganda attribuita da Facebook a un ramo del GRU, i servizi di intelligence militari russi. Quindi, avendo chiara questa cornice, procediamo a vedere cosa dice lo studio, perché in verità - al di là delle accuse alla Russia, che non sarebbero nulla di nuovo in relazione all’episodio specifico, dato che già erano emerse chiaramente nel rapporto Mueller del marzo 2019 sulle interferenze russe nelle elezioni del 2016 - ci dice delle cose interessanti su come funzionano la disinformazione e propaganda oggi.

Il ruolo cruciale dei media e del sottobosco mediatico nella diffusione di disinformazione
E, a mio avviso, il risultato più importante dello studio è il seguente: che si tratti di diffondere narrazioni/storie costruite ad hoc su specifici temi, o invece di delegittimare avversari o generare confusione in un processo democratico attraverso la tecnica dell’hacks-and-leaks (viola un sistema informatico e diffondine i documenti), resta fondamentale, anche nell’era dei social media, il ruolo dell’ecosistema mediatico. Cioè proprio dei media. Sia di quelli tradizionali, sia della galassia di media alternativi, o affini ideologicamente ai promotori della campagna di influenza, o semplicemente impegnati a fare clic e rilanciare qualsivoglia contributo, poco importa aver verificato la veridicità del suo contenuto o l’autenticità dei suoi autori, men che meno le loro motivazioni. Poi arrivano anche, in seconda fila, le schiere di fake personas, di profili finti sui social, e quel che è peggio di finti giornalisti freelance, che fanno da ulteriore distribuzione via social. Ma quel primo passaggio mediatico è fondamentale e senza quello non si va molto lontano.

Le misure attive e i media
Le “misure attive” (termine che indica la disinformazione organizzata e le operazioni di influenza di specifica origine sovietica e riformulate ai tempi della Russia e della Rete, ndr) viste negli ultimi anni, scrivono gli autori, “includevano tattiche sui social media che erano usati in modo ripetitivo, ma raramente avevano successo quando eseguite da GRU. Quando riuscivano, era perché di solito avevano sfruttato dei media mainstream; avevano fatto volutamente leva su media alternativi indipendenti che agivano, nel migliore dei casi, come un contenitore acritico degli articoli ricevuti; e avevano usato autori falsi e false entità di base che facevano da amplificazione per articolare e distribuire il punto di vista statale”. Insomma tattiche “analoghe a quelle usate nelle operazioni di influenza della Guerra Fredda”, che probabilmente saranno ulteriormente refinite e aggiornate all’era internet con maggiore efficacia, concludono gli autori. Sta di fatto però che oggi il ruolo dei media è centrale.

Il commento di una autrice a Guerre di rete
“La raccolta delle attività del GRU - spiega a Guerre di Rete una delle autrici, Renée Diresta - rivela uno sforzo nel creare organizzazioni di copertura piene di personaggi finti, che producono contenuti per sostenere l’organizzazione e poi successivamente sfruttare quell’affiliazione per piazzare storie in media indipendenti allineati. Tali entità, questi media indipendenti offrono un grado di autenticità - gli autori sono reali, le organizzazioni reggono a una verifica. Inoltre offrono visualizzazioni dal loro stesso pubblico consolidato (sia traffico diretto che follwower sui social). Quindi aiutano a legittimare queste finte persone, la loro affiliazione, e lo stesso contenuto o narrativa. Nello specifico, l’Inside Syria Media Center (una delle organizzazioni di copertura individuate dal report, ndr) è il miglior esempio di questo processo, e, infatti, due delle pubblicazioni (Counterpunch e The Duran) che sono state tratte in inganno da  “Alice Donovan" (una di queste fake personas, ndr) dopo hanno scritto spiegando che non l’avevano controllata molto bene. Su altre pubblicazioni non siamo in grado di dire quanto abbiano accettato contributi in modo consapevole o meno”.

Le tecniche del GRU
Chiarito questo aspetto, vediamo altri dettagli. Il report si concentra sul GRU e non sull’IRA, la Internet Research Agency, “la fabbrica di troll” di San Pietroburgo di cui si è molto parlato per la propaganda sui social nel 2016, di fatto una società controllata da Yevgeny Prigozhin, oligarca considerato vicino a Putin. Per il report tra l’altro non è chiaro se ci siano collegamenti o collaborazioni fra le due entità.

1) Riciclaggio narrativo
Ad ogni modo, mentre l’approccio dell’IRA è di tipo memetico, cioè usa una propaganda fatta di meme, immagini, acquisto di pubblicità e post sponsorizzati sui social, contenuti virali, infiltrazioni di comunità online, quello del GRU usa invece delle narrative/storie con cui alimenta l’ecosistema mediatico. Per farlo si aiuta inizialmente con una rete di think tank, siti affiliati e profili/autori finti. E’ la tecnica definita di “narrative laundering” - cioè una volta creata una narrativa/storia da una entità statale inizi a fare una operazione di riciclaggio per ripulirla dalle sue origini e farla sembrare più indipendente facendola passare tra gli spazzoloni dell’editoria più allineata con te, di media più o meno consapevoli, fino a bucare il mainstream. Questa è in realtà una tecnica antica, notano gli autori e, aggiungo io, c’è ampia letteratura in merito: ad esempio la storia dell’Aids creato da scienziati americani per uccidere afroamericani e gay, che viene “impiantata” in un piccolo giornale indiano e poi inizia a diffondersi prima in Africa, per poi approdare sulla stessa tv americana (vedi The Guardian ma anche Operation Infektion, recente documentario del New York Times).

2) Think tanks e autori
Tornando al GRU e ad anni recenti, questo farebbe uso di think tank e media che fanno da contenitore iniziale, e fake personas che fanno da autori, da giornalisti freelance e che piazzano articoli su varie testate. Segue una rete di distributori sui social. Il report fa i nomi, sia degli autori finti (ormai scomparsi online), sia dei think tank, e tra questi cita un certo NBEne Group. E qui ci sarebbe una perla. Un articolo di questo think tank sull’annessione della Crimea sarebbe finito citato, grazie a questo riciclaggio narrativo, su una rivista di diritto militare americana (US Military Law Review). 
In quanto ai think tank o siti considerati affiliati al GRU, il report ne individua sei: Inside Syria Media Center, Crna Gora News Agency, Nbenegroup.com, The Informer, World News Observer, e Victory for Peace, oltre a un netwotk di personas, di finti autori o persone online. I fronti caldi sono ovviamente quelli cari alla Russia: Siria, Ucraina, ma anche le tensioni negli Usa.

3) Hacks-and-leaks
Altra tecnica adottata dal GRU sono le operazioni di hacks-and-leaks, ampiamente riportate nel rapporto Mueller (e di cui parlo anche nel mio libro #Cybercrime), che “hanno avuto un impatto significativo nelle elezioni Usa del 2016”, scrivono gli autori, “anche se il GRU ha condotto altre operazioni tra 2014 e 2019”. Caratteristica saliente di questa tattica è la necessità di appoggiarsi a una seconda parte con cui diffondere i risultati dell’hack (citano, come esempio, Wikileaks, ma se guardiamo alle operazioni ricordate dovremmo citare i media mainstream in generale, e per altro lo stesso studio poche righe sotto cita proprio Wired e Guardian nel caso dell’attacco all’Agenzia mondiale antidoping). I social media qua sono usati solo per pubblicizzare online i leak e contattare i media. 

I faketivists
Oltre ai Fancy Bears Hack Team, gruppo di presunti finti hacktivisti che ha violato l’Agenzia mondiale antidoping e diffuso suoi documenti - scrivono gli autori - come forma di rappresaglia per l’esclusione del team russo dalle Olimpiadi di Rio, ci sarebbe il gruppo Cyberberkut, altri presunti pseudohacktivisti (che si presentano come ucraini ma pro-Russia) concentrati su scenario ucraino e tesi a delegittare il governo di Kiev (non è roba nuovissima questa storia, sia chiaro; di loro avevo scritto io stessa, facendone un profilo e spiegando i dubbi sulla loro genuinità nel 2017).
Tra l’altro (questa parte è una mia aggiunta) il gruppo Cyberberkut aveva introdotto in pratica il concetto di tainted leaks, leak contaminati, cioè di hacks-and-leaks in cui però il leak, vero, è non solo fatto in modo selettivo ma mescolato con informazioni manipolate. E’ quanto era successo al giornalista britannico David Satter, una vicenda i cui dettagli furono riportati in un report di Citizen Lab.

Insomma: vecchie tattiche, ruolo importante e spesso sottovalutato dei media, sia alternativi che mainstream, alcuni importanti aggiornamenti nell’uso di fake personas, nella creazione di think tanks che vivono perlopiù online, nell’uso di hacks-and-leaks. 
Lo studio:  White Paper "Potemkin Pages and Personas".

 (Restando su questi temi, ma ritornando nella pancia dell’America, è appena uscito un libro su ruolo social, media, e alt-right:Antisocial - Online Extremists, Techno-Utopians, and the Hijacking of the American Conversation
Ma sul ruolo invece dei media, e nello specifico dei media di destra e della galassia Breitbart, e della loro capaictà di influenzare i media mainstream, ricordo questo studio del 2017)

GRU Reloaded
Non è finita qui col GRU (Русские друзья, oggi è così). Le analisi di diverse società di cybersicurezza hanno ricondotto diverse tracce (artefatti digitali) lasciate in diverse campagne di hacks-and-leaks e di sabotaggio allo stesso soggetto, non solo GRU, ma proprio un gruppo specifico di hacker di GRU, che definiscono Sandworm. Dunque, secondo questi ricercatori - riporta Wired - dietro a fenomeni anche molto diversi come l’attacco alla campagna di Macron con leak di email nel 2017, l’attacco ai Democratici americani nel 2016, l’attacco alle Olmipiadi invernali del 2018 e il malware NotPetya (che nel 2017 fuoriuscì dall’Ucraina colpendo molti Paesi e organizzazioni e bloccando le attività di molte aziende) ci sarebbe sempre lo stesso gruppo, Sandworm. Una delle tracce più evidenti è una mail di phishing rimasta nel leak francese, che riconduce all’infrastruttra usata nella vicenda NotPetya. Qualcuno potrebbe storcere il naso visto che gran parte di questa attribuzione è basata solo sull’incrocio di tracce digitali, e l’uso di specifiche backdoor.
Gli hacker più pericolosi del Cremlino: il libro
Ad ogni modo, c’è un libro appena uscito che parla proprio di Sandworm:A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers (e l’autore, lo stesso dell’articolo, è uno dei più bravi giornalisti tech della scena, Andy Greenberg). Quindi se avete dubbi accattatevelo e vedete se vi convince.

TWITTER
Gli attivisti spiati su Twitter (e non solo) dall’Arabia Saudita
Attivisti, avvocati che si occupano di diritti umani, e giornalisti investigativi su fronti caldi sono esposti a rischi digitali importanti. I loro dati possono essere spiati direttamente da dipendenti infedeli di aziende tech. O possono essere attaccati con degli spyware, software spia, trojan, captatori informatici abusati da governi autoritari. Ci sono varie storie da mettere a fuoco in queste settimane. Una riguarda Twitter, i dati di alcuni suoi utenti più esposti, il governo dell’Arabia Saudita e quello americano.

Le incriminazioni del Dipartimento di Giustizia Usa
La settimana scorsa il Dipartimento di Giustizia Usa ha infatti incriminato due ex dipendenti di Twitter, Ahmad Abouammo (cittadino americano e l’unico arrestato a Seattle, gli altri sono latitanti) e Ali Alzabarah (saudita), di abusare dei loro privilegi di accesso ai sistemi interni dell’azienda per spiare su specifici utenti e passare le informazioni all’Arabia Saudita. Le carte nominano anche un terzo sospettato, Ahmed Almutairi, che gestisce una social media company, e che avrebbe fatto da intermediario tra i due dipendenti e il governo saudita. Alzabarah e Almutairi sono ricercati ora dall’FBI come agenti illegali di uno Stato straniero. “Questi individui sono accusati di aver ottenuto i dati privati di dissidenti e noti critici, sotto la direzione e controllo del governo dell’Arabia Saudita”, ha dichiarato l’agente speciale FBI John F. Bennett.

Gli account spiati
Alzabarah, ingegnere, è accusato di aver spiato per conto di Riad le info di oltre 6mila account Twitter, tra cui dissidenti e attivisti politici, nel 2015. Tra questi, l’utente Twitter numero 9 (così definito dalle carte, non da Twitter) che è un noto critico del governo saudita e che ha chiesto asilo in Canada. Tenete a mente il dissidente in Canada perché probabilmente lo conosciamo già da passate newsletter e tra poco ci torniamo.
Invece Abouammo, l’americano arrestato, che era manager delle media partnership, e non avrebbe avuto alcuna necessità di vedere certe info, è accusato di aver avuto accesso ai dati di almeno tre account, di cui uno era di un noto oppositore del governo saudita. E avrebbe ottenuto in cambio 300mila dollari, ricevuti attraverso una società di comodo da un conto di un parente in Libano, e un orologio da 20mila dollari (che l’uomo avrebbe provato a rivendere sul sito Craiglist, ma ai federali che poi lo hanno interrogato avrebbe detto che sembrava di plastica, una chincaglieria, del valore di 500 dollari...). Lasciata Twitter nel maggio 2015, l’uomo avrebbe ancora provato ancora a ottenere dati attraverso altri dipendenti.

I dati in questione sono soprattutto email, numeri di telefono e indirizzi IP, che identificano un device connesso a internet. Se sei un dissidente che usa Twitter per criticare il governo saudita in modo “anonimo” , questi dati possono essere la differenza tra la libertà e la prigione, o peggio. Scriveva Alzabarah in una mail su uno degli utenti che spiava: “Questo è un professionista. È un saudita che usa la cifratura.. Lo abbiamo tracciato e abbiamo visto che 12 giorni fa è entrato nell’account una volta senza cifratura dall’IP [numero IP] alle 18:40 del 25 maggio 2015. Non usa neanche un cellulare, solo un browser, sta online usando Firefox da una macchina Windows”.

Intrecci reali
A tirare le fila di quello che è un intrigo internazionale a tutti gli effetti un misterioso funzionario del governo saudita, segretario di una organizzazione noprofit di un membro della famiglia reale (membro1 della famiglia reale, viene indicato nelle carte) e dipendente della stessa, come indicato sul suo visto. Chi è questo funzionario e chi è il membro 1 della famiglia reale? Si tratterebbe - secondo il WashPost e il WSJ - di Bader Al Asaker, considerato la “mano invisibile” del principe Mohammed bin Salman o MbS, il regnante di fatto.
Alzabarah, uno dei due dipendenti Twitter, dopo essere stato sospeso dall’azienda, si è dimesso inviando una mail mentre era già in volo verso l’Arabia Saudita. Qui si è messo a lavorare proprio per quella organizzazione noprofit guidata da Al Asaker, chiamata MISK, e creata da Mohammed bin Salman. (Ars Technica)
Da suo canto, Almutairi - l’intermediario - era a capo di una società di social media marketing che lavorava sempre per l’organizzazione noprofit (quella guidata da Al Asaker) e per membri della famiglia reale, incluso il membro 1 (bin Salman?).

I social, gli spyware e l’Arabia Saudita
E qui bisogna ricordare il contesto. L’Arabia Saudita (e l’entourage del suo principe Mohammed bin Salman, MbS) sono accusati di usare i social media per tracciare, reprimere e silenziare dissidenti. A ciò si aggiunge l’accusa - formulata tra gli altri dalla stessa intelligence americana - di essere coinvolti nell’uccisione brutale di Jamal Khashoggi, il giornalista smembrato nel consolato saudita di Istanbul. Tra i sospettati anche Saud Al Qahtani, ex consulente media del principe bin Salman che dirigeva le campagne social E che fu autore di un tweet che oggi alla luce di quanto emerso appare ancora più sinistro. “Il tuo nickname anonimo ti protegge dalla blacklist?” - scriveva minaccioso su Twitter - “1)I governi hanno modo di avere il tuo vero nome; 2) l’indirizzo IP potrebbe essere acquisito in molti modi tecnici; 3) un segreto che non dirò” (tweet e account cancellato ma ci sono vari riferimenti online tipo qua).

Ancora Abdulaziz, il dissidente canadese
Una delle vittime è Omar Abdulaziz, dissidente saudita esiliato in Canada (probabilmente è l’utente Twitter 9 menzionato sopra). Ora Abulaziz ha avviato una azione legale, anche contro Twitter, per non avergli notificato in modo tempestivo e accurato l’intrusione di Alzabarah nel suo account.
Abdulaziz è stato spiato non solo nel suo account Twitter ma anche sul suo telefono attraverso uno spyware. Infatti l’uomo è anche in causa con NSO, il produttore israeliano di spyware venduti ai governi, vicenda di cui avevo scritto in dettaglio qua. Di tutto ciò Abdulaziz ha appena scritto sul WashPost. Abdulaziz aveva anche un legame di amicizia e professionale stretto con Jamal Khashoggi.
Nel giugno e luglio 2018 Abdulaziz e Khashoggi avrebbero lavorato al progetto Electronic Bees, il cui obiettivo era organizzare un ampio numero di attivisti e dissidenti sauditi su Twitter, per contrastare direttamente le attività dei troll e degli operatori del regime. Ma, sostiene l’azione legale di Abdulaziz, i sauditi erano venuti a conoscenza di queste attività in tempo reale dal telefono del dissidente rifugiatosi in Canada.
Tra l’altro, proprio NSO è tornata sui media in questi giorni. Si era parlato infatti di una falla Whatsapp usata per infettare 1400 target. Tanto che Whatsapp ha avviato una azione legale contro NSO, come raccontavo nella precedente newsletter. Ora di alcuni di questi ora stanno uscendo i nomi. Includono, in India, avvocati dei diritti umani, scrive il NYT.

STRUMENTI
Come difendersi dagli spyware
Se sei un target di una intelligence, o di un certo Stato, c’è poco da fare, ti ripetono tutti. E probabilmente è vero. Nondimeno qualcuno che si assume la responsabilità di dare dei consigli c’è.
Dunque se siete persone particolarmente esposte al rischio di essere colpite da malware, e soprattutto da spyware elaborati, ovvero se siete giornalisti in prima linea in contesti particolari o attivisti esposti su una serie di temi o regioni, o altro, ecco una serie di consigli per difendersi che arrivano direttamente dal Committee to Protect Journalists (e il contributo di Amnesty e Citizen Lab, che di questi temi se n'intendono), rielaborati un po' da me per renderli più comprensibili:
-il vettore di attacco più comune è ancora un link. Questo può arrivare trasportato da un SMS, una email, un messaggio su Whatsapp o simili, o su social media
-Il contenuto, secondo un'analisi di Amnesty/Citizen Lab, è in genere: un messaggio che finge di arrivare da un media o una ambasciata; un messaggio che avvisa l'utente che è a rischio immediato per qualcosa; un messaggio che riguarda un tema legato al lavoro, come la copertura di un evento su cui il target scrive di solito; un messaggio che si riferisce a presunti contenuti personali del target; o un messaggio con riferimenti a carte di credito o dati finanziari. Può anche arrivare da un numero sconosciuto.
Che fare dunque in casi dubbi?
- Verificare il link con chi lo ha mandato (se lo si conosce) attraverso un altro canale di comunicazione, meglio voce o video
-Se il link è accorciato con un servizio come TinyURL o Bitly, inserire il link in un servizio che lo espande come Link Expander o URLEX. Non cliccare assolutamente se una volta visto appare sospetto o simile a un sito legittimo.
-Non usare il proprio dispositivo primario per aprire il link se comunque si pensa di doverlo fare. Si può tenere un apparecchio solo per aprire link sospetti, salvo fare periodicamente un reset e tenerlo spento e senza batteria quando non si utilizza.
-Usare un browser che rischia di meno di essere un target, quindi non un browser di default (ma questo consiglio per stessa ammissione del Committee non sembra essere molto solido e si riferisce a uno spyware in particolare, Pegasus)
-Evitare che il proprio telefono vada in mano ad altri, e quando si attraversa la frontiera spegnerlo (ovviamente va anche protetto con codice); al limite considerare un burner phone, un telefono usa e getta
-Se si pensa di essere stati compromessi, non usare più il dispositivo, uscire da tutti i propri account e reimpostare le password da un altro device. E cercare un esperto (per i giornalisti freelance c'è la Access Now Helpline)

Consigli di sicurezza per giornalisti
Aggiungo altri consigli (generici, per cui imperfetti e da valutare nel contesto) per i giornalisti:
- se parlate/scrivete via telefono con fonti, usate Signal
- password per bloccare il telefono almeno di 8 cifre/caratteri
- cifrate il pc
- se avete contenuti delicati su inchieste conservateli su hard disk separati, sconnessi e cifrati
- se dovete usare chiavette, vanno cifrate (esistono anche quelle facili facili, coi tastierini avete presente?). Se non volete comprare chiavette con cifratura hardware, potete anche cifrarle con Bitlocker (per Windows) o FileVault2 (per Mac OS). Per sicurezza scrivere e tenere sempre al sicuro il codice di recupero (che non è la password)
- autenticazione a due fattori, con app (tipo Google Authenticator) e non SMS, per la mail (e per tutto, ma a partire dalla mail). Se si usa la app, bisogna sempre mantenere al sicuro il codice "seed" (così se si perde il cellulare, si può rigenerare la app). Per ulteriore protezione si può usare una chiavetta U2F (es. Yubikey, ma ce ne sono anche di più economiche, di pochi euro): la colleghi al PC quando fai accesso, premi un tasto e questa invia la one time password che insieme alla password ti fa accedere.
-per il cloud, si può usare boxcryptor, e se qualcuno accede al nostro account, vedrà dati cifrati.
- se pensate di essere stati compromessi, consultate un esperto e fate analizzare i dispositivi prima di rivelare info al riguardo
(Ringrazio il consulente di informatica forense Paolo Dal Checco per il prezioso aiuto).

CYBERSICUREZZA E OSPEDALI
L’attacco informatico può incidere su diagnosi d’emergenza anche dopo?
Questa segnalazione è importante e non va sottovalutata. Gli ospedali che sono stati colpiti da un attacco ransomware o da una seria violazione informatica potrebbero doversi aspettare un aumento nel tasso di mortalità in pazienti che soffrono di cuore nei mesi seguenti a causa degli sforzi di risanamento (remediation) delle infrastrutture. Questo perché tali attività “possono introdurre cambiamenti che ritardano, complicano o disturbano l’informatica sanitaria e i processi di cura dei pazienti”. A sostenerlo uno studio allarmante che quanto meno dovrebbe portare a ulteriori analisi di come e quanto i cyberattacchi possano avere un impatto sui pazienti. A raccontarlo è il noto giornalista tech Brian Krebs sul suo blog. “I ricercatori hanno scoperto che i centri sanitari che avevano subito un breach, una violazione informatica, impiegavano 2,7 minuti aggiuntivi per eseguire un elettrocardiogramma a un paziente sospettato di stare avendo un attacco di cuore”.

INDIA E CYBER

Agenzia spaziale e centrale nucleare, incursioni di Lazarus 
L'agenzia di ricerca spaziale indiana (ISRO) è stata allertata dal centro di cybersicurezza nazionale di un possibile attacco informatico durante una importante missione lo scorso settembre (anche se le due cose non sono collegate). I sospetti sono indirizzati su hacker nordcoreani del gruppo Lazarus, secondo the Indian Express. La rivelazione arriva dopo che l'autorità sul nucleare del Paese ha confermato che l'impianto nucleare di Kudankulam nel Tamil Nadu era stato a sua volta colpito da un attacco.
Secondo TheNewsMinute, il 3 settembre il centro nazionale indiano per la cybersicurezza avrebbe ricevuto una soffiata da una azienda americana rispetto a un gruppo di attaccanti che avevano violato i controllori di dominio (cioè i server che gestiscono l'autenticazione di utenti e risorse) sia dell'impianto nucleare di Kudankulam sia dell'agenzia spaziale con un malware identificato come Dtrack e attribuito ad hacker nordcoreani.
Dall'impianto nucleare hanno specificato che la rete interessata era quella usata per funzioni amministrative, ed è separata dalla rete interna più critica. Insomma gli impianti non sarebbero stati a rischio. (qua più info su attribuzione). Vedi anche FT (paywall)

NAZILEAK
Qualcuno ha rilasciato i dati sugli utenti di un sito neonazi

Una fuga di dati sul defunto sito di neonazi Iron March svela una rete internazionale con collegamenti a omicidi e atti di terrorismo. Dati sugli utenti del sito rilasciati online da un anonimo profilo dal nome "antifa-data" - Valigia Blu
Interessante la dinamica: su questo leak si sono buttati vari team che fanno investigazioni su fonti aperte a fini giornalistici come Bellingcat e Storyful. E ad esempio hanno individuato dei militari iscritti, uno dei quali stava reclutando persone per creare un gruppo paramilitare fascista - Vice

SALUTE E SICUREZZA 1
In breach Veritas
Un data breach, una fuga di dati dove i dati sono quelli genetici potrebbe essere l'inizio di un perfetto cyberthriller (quasi quasi ci penso eh...). E per questo c'è da sperare che rimanga fantascienza. Nel mentre le violazioni di dati normali non mancano. Una startup di test del DNA, Veritas Genetics, che vende il sequenziamento del genoma per 599 dollari, ha infatti comunicato di aver riscontrato un accesso non autorizzato alle informazioni di alcuni suoi clienti. Non dati genetici, ha rassicurato, dato che il portale violato non conteneva risultati di test o informazioni mediche. Tuttavia l'azienda non ha specificato quali informazioni (e su chi e su quanti) sarebbero state violate. Insomma, una storia ordinaria di "incidenti di sicurezza" e conseguente incertezza.
Veritas fa parte, insieme a 23andMe, Ancestry, MyHeritage ed altre, di un nutrito gruppo di startup che analizzano il genoma umano di singoli individui che comprano il loro kit (i più economici costano intorno ai 60 dollari) nella speranza di avere più informazioni sulle loro radici o su rischi per la salute. Una categoria di aziende che maneggia dati ultra sensibili come si può ben immaginare. Sono 26 milioni i consumatori che hanno usato un kit di test genetico con un incremento a partire dal 2017 (dati Technology Review). Oltre al rischio sicurezza, c'è anche quello legato alla privacy e a chi sono passati questi dati. Negli Usa la polizia ha chiesto e ottenuto più volte accesso ai database di alcune di queste aziende. E una recente sentenza di un giudice potrebbe aprire ancora di più i recinti. (NYT). Ma è accettabile dare accesso alle forze di polizia al DNA di milioni di cittadini innocenti per cercare qualche sospetto? si chiedono alcuni (Zdnet)
Vedi anche Bloomberg e TechCrunch.

SALUTE E SICUREZZA 2
Il progetto di Google con i dati sanitari
Ma non è finita qua, questa settimana, sul tema dati sanitari. Proprio a Omnibus un paio di settimane fa avevo ricordato il crescente interesse di Google verso il settore sanitario commentando l'acquisizione di Fitbit, il produttore di braccialetti per il fitness, da parte sua. Bene, nei giorni scorsi il WSJ ha rivelato che Google avrebbe raccolto dati su milioni di pazienti statunitensi attraverso un accordo con il secondo fornitore di servizi sanitari negli Usa, Ascension Health (una catena di 150 ospedali noprofit cattolici).
Il progetto, nome in codice Project Nightingale, avrebbe permesso ad almeno 150 dipendenti Google di accedere alle informazioni sanitarie dei pazienti gestiti da Ascension Health. L'obiettivo della multinazionale è di sviluppare un software che sia in grado, attraverso intelligenza artificiale/machine learning, di formulare specifici suggerimenti/strategie di cura per singoli pazienti. E di avere uno strumento, un framework per esaminare grandi quantità di dati sanitari che potrebbe essere commercializzato ad altri servizi sanitari (per ora Google starebbe lavorando gratis, d'altronde qualcuno potrebbe dire che è pagato in dati). Per Ascension la partnership servirebbe a migliorare le cure ma anche i ricavi. Ma è legale? Sì, secondo la legge americana Health Insurance Portability and Accountability Act del 1996 (HIPPA) che consente la condivisione dei dati dei pazienti senza che questi lo sappiano se lo scopo è portare avanti funzioni sanitarie, scrive Ars Technica.
Per questo ora c'è chi invoca leggi molto più dure che sanzionino gli abusi.
Va anche detto che Google non è certo l'unica azienda che accede ai dati dei fornitori di servizi sanitari americani, come notano vari osservatori.

TWITTER
Ads politici vietati ma con qualche se e con qualche ma
C’è una nuova policy di Twitter che vieta le pubblicità politiche. Il divieto è tassativo per gli ads dei politici/candidati/relativi a proposte di legge; ma più malleabile se si tratta di campagne tematiche, ovvero ads concessi con restrizioni. In particolare in tal caso verrà limitato il microtargeting, cioè la possibilità di mirare tali pubblicità su pubblici molto ristretti e specifici (ad esempio per CAP postale).
CNBC

Una policy anche sui deepfake
Twitter sta lavorando anche a una policy sui deepfake, audio/video manipolati con tecniche di AI al punto da fare sembrare che qualcuno dica o faccia qualcosa che non ha detto o fatto. Secondo queste indiscrezioni, dovrebbe essere la seguente: se Twitter individuerà deepfake che volutamente cercano di ingannare il pubblico piazzerà un avviso vicino ai tweet che li condividono; avviserà gli utenti prima che mettano un like o ricondividano; e aggiungerà un link ad articoli o fonti che spieghino perché è considerato fake.Resta il problema di come individuarli. (TechCrunch)

PRIVACY
Per perquisirmi il telefono almeno un ragionevole sospetto
Importante vittoria per il fronte privacy. Una corte federale americana ha stabilito, in una causa legale avviata dalla Electronic Frontier Foundation e dalla ACLU, che le perquisizioni dei telefoni fatte alla frontiera su viaggiatori internazionali senza un ragionevole sospetto di un crimine sono illegali e violano il quarto emendamento che appunto protegge da perquisizioni immotivate (senza un mandato). Ad oggi la frontiera americana era una zona grigia in cui il governo sosteneva di non aver bisogno di un mandato (ma spesso neanche di un sospetto) per cercare informazioni su un dispositivo. Una volta raccolte, queste potevano essere ricondivise con altre agenzie. D'ora in poi i viaggiatori che saranno fermati in aeroporto e a cui verrà chiesto di perquisire i dispositivi senza un ragionevole sospetto che abbiano fatto qualcosa di illegale potranno appellarsi a questa sentenza, scrive Vice (quanto ciò li preservi da grane in un simile contesto resta però da vedere, specie se non si è cittadini americani). Nel 2018 la CBP (l'Agenzia per le dogane e la protezione delle frontiere Usa) ha effettuato 33mila perquisizioni ai confini, quattro volte tanto rispetto a tre anni prima.
Resta il fatto che non sarà ancora necessario avere un mandato.
La sentenza

TIKTOK
Matteo Salvini ha aperto un profilo su TikTok. Un’occasione per parlare di TikTok, più che di Salvini, come fa il Corriere.
Intanto, Il Comitato per gli investimenti esteri statunitense sta verificando se l’applicazione di proprietà della cinese ByteDance rappresenta un pericolo per i dati dei cittadini Usa (Corriere)

LETTURE

CINA
400 pagine di documenti interni cinesi sul giro di vite sulle minoranze etniche nel Xinjiang. NYT

BAMBINI E DIGITALE
Basta disinformazione su uso dei cellulari e salute mentale dei più giovani. Ecco cosa dice la ricerca scientifica
Valigia Blu

SOCIAL E UTENTI
Come i social media stanno provando a ridurre molestie e comportamenti tossici (tagliando anche sulla ansia da prestazione dell'engagement e dei like) Axios

CYBERDIPLOMAZIA
Cina, Usa, India aspirano a plasmare attivamente l’ambiente digitale. L’Europa ha bisogno di avere una voce più forte e compatta. La necessità di una cyberdiplomazia europea. EuCyberDirect

RUSSIA SOVRANA
Il concetto di internet sovrana in Russia, e non solo
Global Voices

AI
Un team di esperti di AI ad Amsterdam e una rete di volontari in Cina cerca di individuare messaggi suicidali su Weibo (il Twitter cinese) e di intervenire per tempo
BBC

GEOPOLITECH
Il mantenimento della superiorità tecnologica americana si lega alle decisioni strategiche che verranno adottate da GAFAM - Google, Apple, Facebook, Amazon e Microsoft Areion (francese)

5G
Speciale sul 5G. Cosa è, cosa permette, numeri, geopolitica
Quartz

AI
Deepfake in tribunale: ecco come la digital forensics smaschera il falso
Agenda Digitale

CYBERSICUREZZA
Le convergenze parallele di Italia e Francia su 5G e cyber security Formiche

RISIKO TECH
La Rete è dominata da alcuni giganti tech. Ma anche per loro gli spazi di espansione esterna si stanno riducendo. E in questi casi l’esito è una guerra (metaforica). Speciale NYT

TECH E POLITICA
La «democrazia peer to peer» di Audrey Tang
Il manifesto


PASSWORD POLICY
Ha fatto discutere su Twitter la policy sulle password di una banca online italiana. Spiegano di che si tratta (ridimensionando anche un po’ la vicenda) la testata americana Vice, e l’italiana Wired.
Più in generale, riporto i suggerimenti dell’americano NIST(il National Institute of Standards and Technology, una autorità in materia di standard tecnologici) su password e autenticazione:
1) usa autenticazione a più fattori;
2) password: frase con più parole, difficile da indovinare (meglio la lunghezza che la complessità!);
3) password uniche per gli account importanti (meglio se si usa un password manager)
C’è il disegnino anche (infografica)
Queste sono le indicazioni (doc tecnico).
Video sulle stesse indicazioni del NIST.
Altri consigli semplificati.

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!