[Guerre di Rete - newsletter] Riconoscimento facciale; disinformazione vecchia e nuova; cifratura
Da Nizza all'Australia avanza il riconoscimento facciale. Ransomware scatenati in azienda. E altro
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.47 - 6 ottobre 2019
Oggi si parla di:
- riconoscimento facciale, da Nizza all’Australia
- minacce interne alle aziende tech che ricadono su utenti
- cifratura sì, cifratura no (ancora…)
- disinformazione e machine learning
- piattaforme e contenuti
- ransomware scatenati
- altro
RICONOSCIMENTO FACCIALE
Nizza e le videocamere
Nizza sta diventando un laboratorio nell’applicazione di telecamere dotate di riconoscimento facciale. Non solo infatti nella cittadina della Costa Azzurra ci sono già oltre 2600 videocamere di sorveglianza - una per 128 abitanti - e a febbraio era stata testata una tecnologia di riconoscimento facciale nelle strade durante il Carnevale, comparando le facce riprese (su un campione di volontari) con un database di visi.
La sperimentazione nelle scuole
Ma ora le autorità regionali stanno aspettando il parere dell’autorità sulla protezione dei dati, il CNIL, sulla possibilità di applicare il riconoscimento facciale all’ingresso di due scuole superiori (una a Nizza e una a Marsiglia). Una sperimentazione che ha sollevato proteste e perplessità di genitori, insegnanti e attivisti per la privacy, scrive Politico. I test dovevano iniziare a settembre, ma per ora sono sospesi in attesa della valutazione del CNIL che dovrebbe arrivare a breve, già ad ottobre. La sperimentazione sarebbe parte di un pacchetto da 45 milioni di euro stanziato per rendere più sicure le scuole superiori, e il suo obiettivo quello di ottimizzare l’identificazione degli studenti e fermare eventuali intrusi. La tecnologia è fornita gratuitamente da Cisco, noto colosso americano, che ha firmato - scrive sempre Politico - un memorandum d’intesa con la regione. Secondo i rappresentanti dell’azienda, i profili biometrici di ogni studente che avrà dato il consenso saranno conservati temporaneamente in un database nella scuola, non saranno trasferiti nel cloud, verranno cifrati e saranno cancellati quando i giovani non vorranno più partecipare al test. Rassicurazioni che però non tengono conto della possibilità che tale tecnologia sia sdoganata e a quel punto si diffonda non più come una semplice sperimentazione ma come una procedura di default.
La passione della città francese per la sorveglianza hi-tech risale a prima dell’attacco terroristico del 2016, ed è collegata al suo sindaco, Christian Estrosi, da tempo sostenitore del riconoscimento facciale.
Confidentia, il riconoscimento facciale e i legami israeliani
A fornire invece la tecnologia per l’esperimento fatto a Carnevale (con solo alcune videocamere, e su base volontaria per i partecipanti) è stata Confidentia, una società monegasca creata nel 2011, diretta da Jean-Philippe Claret, fondatore della associazione World of Blockchain Monaco, con uffici a Parigi, Madrid e Tel Aviv, secondo Monaco Matin. Confidentia, che appare anche nel registro trasparenza del nostro MISE (cosa è il registro trasparenza, OpenPolis), si presenta come una società di cybersicurezza con un portfolio variegato, “compliance audit, penetration testing, comunicazioni sicure e tecnologie blockchain”, si legge nella scheda del registro del Ministero. Sul sito dell’azienda si aggiunge l’offerta di tecnologia di riconoscimento facciale, anche in tempo reale, per servizi di autenticazione; per il retail; e per aeroporti, stazioni, città, da utilizzare insieme a wachlist, liste di persone di interesse da identificare. La tecnologia usata, sosteneva la stessa azienda dell’esperimento di Nizza, sarebbe stata in grado (il condizionale in questi casi è d’obbligo e va accentuato) di effettuare riconoscimenti anche con foto vecchie di 30 anni o con persone che passassero di profilo (e fossero state invece riprese frontali nel database).
Nel 2017 Confidentia era entrata anche nel mercato delle comunicazioni sicure (ovvero telefoni customizzati per essere più sicuri) attraverso una partnership con Kaymera (comunicato), una società israeliana che commercializza questo tipo di smartphone e che è stata cofondata dagli stessi fondatori di NSO, nota società israeliana che invece, all’opposto, vende software spia (che violano proprio gli smartphone) ai governi, (e di cui in questa newsletter si è scritto molte volte, così come delle critiche per alcuni dei suoi clienti e l’uso che viene fatto di quegli spyware). Kaymera e NSO, secondo Forbes, avrebbero anche gli uffici attaccati.
La vulnerabilità Android sfruttata da NSO
A proposito di NSO: Google ha divulgato in questi giorni un alert su una vulnerabilità che riguarda centinaia di milioni di telefoni Android, inclusi i suoi Pixel 2. Una vulnerabilità sfruttata attivamente dagli spyware di NSO. Nei prossimi giorni è in arrivo una patch, una correzione, da Google. (Forbes)
In Francia per l’identità digitale dovrai metterci la faccia
Torniamo però un secondo alla Francia e al riconoscimento facciale. Parigi vuole infatti incorporare il riconoscimento facciale nell’identità digitale dei suoi cittadini, Alicem, prevista per novembre. Si tratta di una app per permettere alle persone di accedere a vari servizi pubblici usando una identità digitale sicura. Per crearsi tale identità i francesi dovranno sottoporsi al riconoscimento facciale, in una procedura che compara la foto del loro passaporto con quella di un video selfie ripreso con la app Alicem, riporta il MIT.
Molte le critiche tra chi ritiene che questa procedura violi il Regolamento europeo sulla privacy e chi non vuole procedere con adozioni di massa di tale tecnologia senza aver prima messo in piedi un quadro chiaro di controlli e limiti. Senza contare i rischi di sicurezza della app, come riferisce Bloomberg.
L’Australia vuole mettere le foto delle patenti e dei passaporti in un database per il riconoscimento facciale
L’idea del governo federale è di creare un nuovo database nazionale. Agenzie governative e private potranno accedere alle foto e identità dei cittadini che sono conservate da autorità locali o dal ministero degli Esteri. Per la Australian Privacy Foundation la proposta è molto invasiva, perché il database potrebbe essere integrato in una serie di altri sistemi che raccolgono dati biometrici, tra cui telecamere in luoghi pubblici. - Guardian
C’è chi dice no
Ma contro il riconoscimento facciale si stanno levando sempre più voci, e vere e proprie azioni di opposizione (emblematica quella dei manifestanti di Hong Kong), come racconta Fabio Chiusi in questo lungo speciale su Valigia Blu dedicato proprio ai rischi del (e alle rivolte contro) tale tecnologia. Anche se le forze contrarie sono tante. Del resto è proprio, scrive Chiusi, “alla richiesta sempre evasa di sicurezza che meglio si accorda il canto delle sirene dei produttori di riconoscimento facciale: se le casse per le forze di polizia sono sempre più desolatamente vuote, e se i cittadini si sentono sempre e continuamente minacciati e bisognosi di più sicurezza (perché accontentarsi quando la promessa è di sicurezza assoluta?), ecco il "soluzionismo tecnologico" bussare alla porta con le sue scintillanti bugie algoritmiche. Che si tratti di diminuire il crimine in una zona residenziale, sveltire le file in aeroporto o sventare il prossimo attentato terroristico poco importa: c'è sempre uno strumento di facial recognition in più a risolvere ogni problema”.
Ue, AI ed etica
L’Unione europea ha fatto il tagliando alle sue linee guida su etica e AI. Il dubbio è che gli impegni volontari non siano sufficienti ad affrontare le sfide sollevate e che servano altri meccanismi (eggià). Quindi si indica la necessità di una legislazione più robusta, proprio sul riconoscimento facciale e sui meccanismi di verifica dei sistemi AI. Europarl
Paper
Andare oltre il deep learning - MIT
AI E DISINFORMAZIONE
Generare commenti con l’AI
Per creare commenti finti sui social e propaganda coordinata inautentica non ci sarà più bisogno di una IRA, una Internet research agency qualsiasi (la cosiddetta “fabbrica di troll” russa in azione nella campagna Usa 2016). Si potrà infatti usare il machine learning. Un paper di ricercatori di Beijing presenta una nuova tecnica di machine learning (AI) il cui uso principale sembra essere quello di creare commenti. Ma non ci sono riferimenti alle implicazioni etiche. “La sicurezza informatica ha una lunga storia di ricerche dalle conseguenze a doppio taglio”, ha twittato il professore di Princeton Arvind Narayanan. “Le conferenze di sicurezza oggi richiedono a chi sottopone studi di descrivere anche le considerazioni etiche e come gli autori hanno seguito questi principi. Le conferenze sul machine learning dovrebbero considerarlo”.
Nel mentre però si va ancora alla vecchia maniera. Con “la disinformazione come servizio”, venduta a caro prezzo nei forum russi, sostiene una ricerca della società Insikt Group. - NBC News
Il report
GOOGLE E PRIVACY
Google Maps, come attivare la modalità incognito (e cosa prevede) – Corriere
SOCIAL E CONTENUTI
La decisione della Corte Ue
“Come stabilito dalla Corte di Giustizia europea ogni Paese può ordinare al social network di cancellare post, fotografie e video simili o identici a quelli già ritenuti illeciti, oltre a poter limitare l’accesso a livello mondiale a questi contenuti” scrive SKyTg24. Anche Repubblica – Corriere
Facebook e i post dei politici
C’è polemica su una decisione di Facebook rispetto ai post dei politici. Nick Clegg, vicepresident dei global affairs per Facebook, ha annunciato che d’ora in poi “tratteremo i discorsi dei politici come contenuti di interesse pubblico che dovrebbero, come regola generale, essere visti e uditi”. Mentre ci saranno più restrizioni sulle pubblicità politiche.
Intanto esce un audio interno di Facebook in cui Zuckerberg non le manda a dire alla candidata democratica Elizabeth Warren - Verge
Sulla satira invece il social ha ancora qualche problema…
Facebook chiude la pagina dei "Socialisti gaudenti" per dei post ironici su CasaPound. Poi fa dietrofront - Repubblica
CAMPAGNA SPIE
L’FBI usava inserzioni su Facebook per reclutare studenti russi su suolo americano nel settore del controspionaggio – CNN
COOKIE E CONSENSO
Cookie, si cambia: ora dovremo dare un sì esplicito per essere tracciati online
Una sentenza della Corte di giustizia europea mette al bando le caselle preselezionate per il consenso al tracking, perché non è valido il consenso espresso - Wired Italia
Questo è un messaggio all’industria adtech, commenta su Twitter l’ong Access Now. “Il vostro modello di business basato su profilazione illegale, tracking forzato e pubblicità mirate senza consenso non è valido per la legge europea
PRIVACY/CYBERSICUREZZA
Se la minaccia è il dipendente dell’azienda tech
Si dice sempre che il cloud è il computer di qualcun altro. Il problema è che a volte, oltre a essere di qualcun altro, quel qualcun altro è pure una persona disturbata. Un ingegnere del software di Yahoo si è dichiarato colpevole di aver violato gli account di 6mila utenti Yahoo per fare incetta di foto e video intimi. La maggior parte di questi account appartengono a donne, alcune sue conoscenti o colleghe. Una volta ottenuto l'accesso agli account Yahoo, l'uomo ha potuto anche compromettere i profili Facebook, iCloud, Gmail e altri servizi online delle vittime, ogni qual volta queste avessero usato la mail Yahoo per registrare altri account. Infatti a quel punto chiedeva un password reset su altri siti, che poi riceveva nella mail Yahoo violata. L'uomo aveva scaricato le immagini rubate su un suo pc. Rischia 5 anni.
Ricorderete che nel 2013, nel bel mezzo delle rivelazioni di Snowden sui programmi di sorveglianza della Nsa, era uscita anche questa pratica di alcuni dipendenti dell'agenzia di sicurezza di abusare dei sistemi di intercettazioni delle comunicazioni cui avevano accesso per spiare su partner, coniugi, ex, o persone conosciute in qualche occasione mondana. LOVEINT, era stata ribattezzata la pratica, da LOVE e il suffisso INT (usato per indicare una raccolta di informazioni nell'intelligence, ad esempio in SIGINT, signal intelligence, o in HUMINT, human intelligence). Anche se si sarebbe dovuto chiamarlo col suo vero nome, STALKINT, da stalker.
Dunque, quanti stalker e creep affollano i nostri cieli cloud? Che procedure e controlli adottano internamente le aziende per limitare questo rischio? Ecco ancora un'altra ottima ragione per usare una cifratura end-to-end, in cui ad avere le chiavi per accedere ai contenuti è solo l'utente, commenta Ray Walsh su TechRepublic.
A proposito di cloud. La Germania sta spingendo per un cloud europeo, Gaia-X. - Politico
RANSOWMARE SCATENATI
Ospedali KO in Usa e Australia
Tre ospedali americani in Alabama hanno dovuto respingere i pazienti, fatta eccezione per i casi più gravi, a causa di una infezione ransomware, i virus che cifrano i file e chiedono un riscatto; e che come abbiamo visto più volte in questa newsletter ormai prendono di mira sempre di più i pesci grossi, amministrazioni pubbliche e aziende. Le ambulanze sono state dirottate su altri nosocomi locali, e ci sono state conseguenze sugli appuntamenti.
Situazione simile vissuta più o meno negli stessi giorni anche in sette ospedali australiani, colpiti pure da ransomware. Vari appuntamenti e operazioni sono stati rimandati, e disconnessi i sistemi informatici tra cui quelli usati per le prenotazioni e le cartelle cliniche. Dove possibile le strutture hanno fatto ricorso a “sistemi manuali” (leggasi carta e penna). BBC
Tutto ciò ricorda quanto avvenuto nel maggio 2017 in Gran Bretagna, quando il sistema sanitario nazionale fu messo K.O dal ransowmare Wannacry (vicenda che per altro racconto in dettaglio nel libro #Cybercrime).
I consigli dell’esperto
Come scrive su Twitter Marcus Hutchins, il giovane ricercatore che disinnescò Wannacry, “siamo ormai oltre il punto in cui i backup sono una soluzione ai ransomware. Oggi ci sono molteplici gruppi che ispezionano i tuo network, distruggono tutti i backup che trovano, poi eseguono simultaneamente un ransomware su ogni sistema, anche su più unità. Quando il ransomware colpisce i consumatori, pagare il riscatto è solo un modo per riavere indietro i dati. Ma nel business è diverso. Anche se hai i tuoi backup offline, mettere offline tutta la tua rete mentre reinstalli ogni sistema ti costerà di più che pagare il riscatto. Una buona sicurezza può prevenire attacchi (spesso hanno accesso attraverso preesistenti infezioni malware o sistemi accessibili dall’esterno e non sicuri) ma un collaudato piano di ripristino in caso di disastro è una necessità. Pensate: se ogni sistema accessibile del vostro network fosse spazzato via, quanto vi ci vorrebbe per riprendervi?”
Berlino, tribunale in tilt
Nel mentre si è saputo che anche il sistema di comunicazione della corte d’appello di Berlino (Kammergericht) nei giorni scorsi è stato affossato da un software malevolo. Poiché tutte le mail della corte erano bloccate (anche per prevenire una ulteriore diffusione del malware), gli impiegati hanno dovuto far ricorso a carta, telefono e fax. (TellerReport)
Ebbene, ora sapete a che servono i vecchi fax negli uffici pubblici. Sono diventati l’ultimo grido delle misure di risposta agli incidenti informatici…
Secondo Frankfurter Allgemeine Zeitung (FAZ), il malware in questione sarebbe Emotet, che nasce come trojan (software che s’installa di nascosto e ruba credenziali) ma che è evoluto come veicolo per altri malware specifici, tra cui i ransomware.
95 milioni di danni per azienda danese
Intanto è emerso che il produttore danese di apparecchi acustici Demant ha subito 95 milioni di dollari di danni a causa di un attacco informatico che l’ha colpito a settembre e che l’ha costretto a fermare la produzione, secondo quanto riportato da SCMagazineUK. L’azienda non ha fornito dettagli sull’attacco anche se ha detto di avere avuto un backup dei dati, e che questo le avrebbe permesso di limitare i danni. Secondo una società di sicurezza sentita dallo stesso SCMagazineUK, si tratterebbe verosimilmente di un ransomware.
Malware e interruzioni in colosso militare tedesco
Brutte settimane anche per una multinazionale tedesca del settore militare, Rheinmetall AG, che a causa di un malware non specificato ha avuto interruzioni significative in almeno tre impianti in Brasile, Messico e Stati Uniti. - Zdnet
IL WTF DELLA SETTIMANA
E niente siamo sempre qui, anche questa settimana, sempre sullo stesso argomento del WTF della scorsa (non sai cos’è un WTF? Qui su Slate la definizione, in tutte le sue molteplici, sottili sfumature - poi non dite che questa newsletter non è piena di informazioni utili).
Il ministro della Giustizia Usa William Barr chiederà a Facebook - in una lettera aperta - di fermare i suoi piani per estendere la cifratura end-to-end (la cifratura più forte, che permette solo a mittente e destinatario di cifrare e decifrare i messaggi) nelle sue app. “Chiediamo che Facebook non proceda a implementare la cifratura end-to-end attraverso i suoi servizi di messaggistica senza assicurare che non ci sia una riduzione della sicurezza degli utenti” - Buzzfeed
Il prossimo passo quale sarà? Una lettera per chiedere di togliere la cifratura end-to-end anche su Whatsapp dove è già implementata? Una lettera a Signal, altra app di messaggistica con tale cifratura, per chiedere che si chiuda da sola? Più backdoor per tutti? Siamo in attesa del restante carteggio epistolare.
IRAN
Campagna 2020 sotto attacco phishing
Un gruppo di hacker di origine iraniana hanno tentato di accedere alle mail di vari funzionari governativi, giornalisti americani che si occupano di politica, iraniani che stanno all’estero, e soprattutto una campagna di un candidato alle presidenziali Usa del 2020. Lo ha dichiarato Microsoft (comunicato), anche se non ha detto quale sia il candidato. Per CNBC potrebbe essere stata la stessa campagna di Trump. Per Microsoft sono stati presi di mira almeno 241 account di email tra agosto e settembre. Il gruppo di hacker presunti iraniani è stato ribattezzato Phosphorous. Ah che belli i nomi dati ai cosiddetti threat groups.. The Verge
UZBEKISTAN
Campagna di attacchi smascherata
L’intelligence uzbeka usava degli exploit zeroday, degli attacchi informatici ancora non noti e impiegati anche da Arabia Saudita e Emirati Arabi Uniti (stesso fornitore?). La sua operational security – la capacità di nascondere le proprie tracce, in questo caso – era però così scarsa che la sua campagna di attacco è stata delineata da Kaspersky. Che gli uzbeki fossero interessati a spyware e strumenti di infiltrazione si sapeva almeno dal leak di Hacking Team, ricorda Vice.
LETTURE
CONSUMER SURVEILLANCE
Sorveglianza della porta accanto
L’esplosione delle videocamere private, in grado di riprendere e conservare tutto quello che accade in strada, sta catturando momenti che non sarebbero mai stati registrati prima. Wired
BAMBINI
Gaming online e cybersecurity: da Minecraft ai controlli parentali, una guida per i più piccoli (Italiano) Clusit
CINA, RETE E ONU
E se il modello cinese del controllo sulla Rete diventasse un modello internazionale?Lo sforzo della Cina di influenzare le norme globali del cyberpsazio, contrastando l’idea di una rete aperta e libera anche grazie alla crescita delle preoccupazioni occidentali per cyberattacchi, spionaggio digitale e campagne di influenza.All’Onu, nei suoi vari organismi, si sta combattendo in questo momento una silenziosa guerra di posizione. La posta in gioco: il futuro della Rete. Asia One
PAPER
Against Sovereignty in Cyberspace (connesso un po’ al discorso qua sopra)
International Studies Review
DIARI DELLA DARKNET
Vi segnalo una chicca, poco nota. Una eccezionale produzione di podcast sulle “guerre di Rete”. Si chiama Darknet Diaries e solo il titolo mi commuove. Qui il podcast Operation socialist che racconta la vecchia storia dell’hack di Belgacom, telco belga che offre servizi all’Unione europea.
UN ALTRO GIORNALISMO E’ POSSIBILE
Il giornalismo è conversazione: incontrare la community dentro e fuori la Rete
Valigia Blu
LIBRI
NON SOLO CYBER
Gotha, il libro di Claudio Cordova sul legame tra ‘ndrangheta, massoneria e servizi deviati: “Indagine sulle storie più oscure d’Italia” (Il Fatto quotidiano)
EVENTI
A Bari si è tenuto e-privacy 2019. Chi non c’era trova però gli audio e le slide degli interventi qua
Ringraziamenti: grazie a tutti quelli che mi hanno segnalato “cose”. Siete tanti e non riesco a elencarvi tutti. Anche quello che non è finito in questo numero della newsletter mi è comunque stato utile.
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!