[Guerre di Rete - newsletter] Sindrome cinese; tutti i volti degli hacker russi; paghe minime digitali; smartphone perquisiti e altro
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
Numero 6 - 7 ottobre 2018
Oggi si parla di:
- il (presunto) attacco cinese all’hardware
- hacker russi e caso Skiripal
- salario ai tempi del lavoro digitale
- smartphone perquisiti alla frontiera
- California e le sue nuove leggi
- e altro
SINDROME CINESE
Microchip inseriti per spiare l’industria e il governo americano?
Un attacco al cuore della filiera produttiva dell'industria dei computer. Condotto segretamente dalla Cina. Per la seconda volta di fila non ci sono dubbi su quale sia la notizia della settimana in ambito cyber ma non solo (e poco raccontata, anche se al solito molto commentata, in Italia).
Un'inchiesta esplosiva. Ma come vedremo anche contestata e problematica, che solleva interrogativi sul metodo giornalistico. E che intanto ha ricadute in Borsa, ma soprattutto potrebbe dare l’accelerazione definitiva alla guerra commerciale tra Stati Uniti e Cina.
Secondo questa storia di Bloomberg Businessweek, le forze armate cinesi (PLA) avrebbero fatto incorporare dei microchip nelle schede madri prodotte da un’azienda americana, Supermicro, poi finiti nei server di alcune delle principali imprese statunitensi, incluse Apple e Amazon, ma anche alla Difesa, alla Marina e in varie agenzie governative a stelle e strisce. Tali microchip sarebbero stati inseriti - corrompendo i dirigenti locali - nelle fabbriche cinesi dove era subappaltata parte della produzione di Supermicro in modo da consentire di avere una via d’accesso segreta, una backdoor nei server e nelle reti delle organizzazioni interessate. O, almeno, questo sarebbe stato l’intento. Secondo Bloomberg, Apple nel 2015 avrebbe trovato i microchip, e avrebbe riferito la vicenda all’Fbi, mantenendo però la storia segreta internamente. Anche Amazon - che si stava comprando Elemental, azienda che si riforniva da Supermicro - se ne sarebbe accorta attraverso un audit su Elemental, al punto da sbarazzarsi di un data center che aveva in Cina.
Bloomberg cita numerose fonti governative e private americane anonime, ma la sua ricostruzione è contestata in modo molto deciso dai vari soggetti interessati, che secondo la sua stessa ricostruzione avrebbero dovuto essere al corrente della vicenda: oltre alla Cina (e vabbè) anche Amazon e Apple. Le aziende smentiscono spesso storie che le riguardano, in genere attaccandosi a dettagli errati o imprecisi, e comunque rimanendo sul generico (come nota Buzzfeed, quando era uscita notizia del programma di sorveglianza PRISM, le aziende avevano sì smentito ma facendo leva su una questione tecnica). Ma qui siamo di fronte a negazioni così complessive e forti che, se a loro volta smascherate, avrebbero conseguenze importanti sulle stesse aziende.
Una delle possibili spiegazioni delle smentite delle aziende - dando per buona la storia di Bloomberg - è che fossero pochissimi quelli autorizzati a conoscere informazioni classificate di quel tipo. Secondo Techcrunch, una figura del genere sarebbe il direttore affari legali di un’azienda, e non il chief executive o il presidente. Ma l’ex direttore affari legali di Apple di fatto smentisce. D’altra parte le smentite ufficiali meritano di essere lette. “Apple non ha mai trovato chip malevoli, “manipolazioni dell’hardware” o vulnerabilità volutamente impiantate in qualsivoglia server”, scandisce un comunicato del produttore di iPhone che suona come una dichiarazione di guerra a Bloomberg. “Apple non ha mai avuto contatti con l’Fbi o altre agenzie su tale incidente. Non siamo a conoscenza di indagini al riguardo né lo sono i nostri contatti nelle forze dell’ordine” (...)”. Il fatto che Apple abbia trovato chip malevoli è “completamente non vero”, ribadisce l’azienda. E non siamo sotto “gag order”, dicono, cioè non c’è alcuna ordinanza restrittiva di non divulgazione al riguardo.
Amazon ha scritto una smentita molto simile, anche se meno violenta. “Non abbiamo mai trovato nulla di simile, non sappiamo di indagini dell’Fbi o altro” ecc.
Le smentite hanno particolare peso anche per il tipo di fonti (perlopiù anonime) su cui si basa l’inchiesta di Bloomberg. In molti (ad esempio il professore di studi strategici Thomas Rid, vedi tutto thread), pur senza rigettare la necessità di appoggiarsi a fonti anonime in vari contesti, ritengono che una storia di sicurezza nazionale così rilevante avrebbe necessitato di altre pezze d’appoggio. Non solo: nel giro di due giorni sono arrivate anche le dichiarazioni dall’agenzia per la cybersicurezza britannica, NCSC (Telegraph); e del Dipartimento di sicurezza interna (DHS) americano. Entrambi gli enti hanno detto di non aver ragione di dubitare delle dichiarazioni (le negazioni) delle aziende (Reuters).
Dunque? Molti analisti si sono divisi o hanno sospeso il giudizio. Per alcuni, come il professore della John Hopkins Matthew Green, a questo punto ci sarebbero due possibilità. “O l’attacco c’è stato. O una grossa fetta della sicurezza nazionale (americana) vuole promuovere l’idea che ci sia stato”.
Il fatto è che un attacco del genere, a livello hardware, è difficile da individuare, da mitigare e anche da prevenire. L’attacco perfetto, insomma. O, se si sceglie l’altra possibilità adombrata da Green, l’accusa perfetta.
Ci sono anche altre interpretazioni meno binarie. Secondo alcuni potrebbero esserci due storie diverse che sono state sovrapposte per errore o malafede: una su Supermicro/Elemental e possibili vulnerabilità trovate da Apple e Amazon sui suoi prodotti; e una su una indagine dell’intelligence su backdoor di tipo hardware non direttamente collegata. Secondo il ricercatore di Google Tavis Ormandis, potrebbero essere state rilevate vulnerabilità ma senza che implicassero frode da parte cinese.
C’è anche un’altra analisi interessante di The Register su come sarebbe nata la storia di Bloomberg. Da un incontro informale con i giornalisti da parte del Pentagono nel 2015, poco dopo l’accordo tra Obama e il presidente cinese Xi Jinping in cui la Cina si impegnava a mettere un freno al cyberspionaggio. È a questo incontro che le preoccupazioni dell’intelligence americana per possibili compromissioni a livello hardware nella supply chain avrebbero puntato l’attenzione dei giornalisti verso Supermicro. Da lì, Bloomberg sarebbe partita per cercare di ricostruire la storia e trovare conferme, tra fonti governative e del settore privato. Ma alcuni dei passaggi e dei documenti sarebbero stati visionati dalle fonti, non direttamente da Bloomberg.
A questo punto la richiesta di molti a Bloomberg - ad esempio da parte di TechCrunch - è di fornire più dettagli sull’inchiesta, ma anche sui dati tecnici del chip, il suo design e funzionalità.
Già nel 2005, cioè 13 anni fa, un rapporto del Dipartimento della Difesa Usa ammoniva del pericolo che componenti elettroniche date in outsourcing in Cina fossero usate per compromettere l’hardware. Nello stesso tempo, l’esigenza di assicurare un controllo sulla sicurezza dell’hardware andava di pari passo - scriveva il rapporto - con quella di mantenere una leadership tecnologica ed economica nel settore della microelettronica.
D’altra parte abbiamo detto che l’indagine (ancora in corso in realtà) su possibili compromissioni hardware da parte cinese nasce al tempo di Obama, anche se è sotto Trump che la sua detonazione porterebbe a casa risultati politici rilevanti (Fortune). Per la Cina, vero o meno che sia la storia, è un danno incalcolabile a livello economico e industriale (incassa anche Lenovo che non sarebbe direttamente coinvolta nella storia). Un boomerang se la notizia fosse vera, una sorta di scommessa ad altissimo rischio (per fare cyberspionaggio ci si gioca un settore industriale). Tanto più che la Cina e le sue industrie erano già sulla graticola (basti pensare a come Zte e Huawei siano nel mirino delle autorità regolatorie occidentali, a partire dagli Usa).
Ora c’è chi rilancia l’idea di certificare/controllare la filiera produttiva almeno per sistemi critici o usati a livello governativo. Ma non è così semplice.
Morale della favola: non corriamo a conclusioni e vediamo cosa uscirà o si preciserà. Comunque vada, è una brutta storia.
USA-RUSSIA
Tutti i volti degli hacker russi
Il Dipartimento di Giustizia Usa ha annunciato l’incriminazione (qua documento) di altri sette agenti dell’intelligence militare russa (GRU) per attività cyber malevole contro gli Stati Uniti e loro alleati. I sette (tre erano già incriminati precedentemente) sono accusati di una serie di noti attacchi informatici e leak, tra cui quelli contro l’Agenzia mondiale antidoping (in cui si fingevano un gruppo di hacktivisti, Fancy Bears Hack Team, la cui sigla faceva il verso al nome dato dai ricercatori agli hacker statali russi, quando si dice la faccia tosta), media come Tv5monde, e ovviamente i Democratici Usa nel 2016. Questa incriminazione esce in contemporanea e in collegamento con la dichiarazione pubblica fatta dal GCHQ, l’intelligence britannica analoga alla Nsa, che ha accusato il GRU di alimentare una serie di gruppi o di attività di hacking note come APT28 (o Fancy Bear), CyberCaliphate, CyberBerkut, BlackEnergy, ma anche il ransomware BadRabbit e l’attacco noto come NotPetya. (TechCrunch)
Nel mentre, i Paesi Bassi comunicavano di aver espulso 4 agenti del GRU per aver tentato di hackerare ad aprile l’OPCW, l’Organizzazione per la proibizione delle armi chimiche che indagava tra le altre cose sull’avvelenamento dell’ex spia russa Sergei Skripal avvenuta a Salisbury, in Gran Bretagna.
Contesto: The Guardian
Quadro complessivo: Washington Post
LAVORO
Perché Amazon alza il salario minimo
Amazon alzerà il salario minimo a 15 dollari all’ora a tutti i suoi lavoratori americani (inclusi stagionali e temporanei) a partire dal prossimo primo novembre (CNBC). Il colosso farà anche lobbying per aumentare la paga minima federale dagli attuali 7,25 dollari. Sui possibili retroscena di questa mossa, Vox parla di “decisione necessaria” considerata la forte competizione nel retail per assicurarsi lavoratori stagionali sotto le feste in una fase di bassa disoccupazione. Analisi simile, che si sofferma anche sul taglio dei bonus per i dipendenti, di Business Insider (Italia). Scenari che contemplano anche strategie politiche per rintuzzare tentazioni antitrust da parte di Washington su The Atlantic.
Quanto guadagnano i conducenti Uber
La paga oraria mediana inclusa la mancia per guidatori Uber negli Usa è di 14,73 dollari, dice un nuovo studio. Non sono incluse le spese per assicurazione, benzina e altri costi. Dunque il salario annuale dopo le spese si aggirerebbe sui 20mila dollari, che è sotto la soglia di povertà di una famiglia di tre. E resta lontano dai 70-90mila dollari che erano pubblicizzati qualche anno fa. Eppure la gig economy continua a crescere - impiegando negli Usa il 5 per cento della popolazione lavorativa lo scorso anno contro il 2 per cento nel 2013 (Recode)
SORVEGLIANZA
Andate in Nuova Zelanda? Leggete qua
In Nuova Zelanda gli agenti alla dogana potranno d’ora in poi effettuare perquisizioni digitali sulle persone chiedendo la password. La nuova legge obbliga i viaggiatori a fornire l’accesso ai loro apparecchi - quindi impronta o password - se gli agenti hanno un ragionevole sospetto di qualche reato. “Non andiamo nel cloud, usiamo la modalità in volo”, rassicurano, si fa per dire, dalla polizia australiana. Se si rifiuta di dare la password multa fino a 5mila dollari e telefono sequestrato e sottoposto ad analisi forense. Esterrefatti i rappresentati dei diritti civili che parlano di invasione della privacy (Radio New Zeland)
POLITICA E SOCIAL
Bannare dalle piattaforme social toglie davvero visibilità
A quanto pare, quello che in inglese indicano col termine to deplatform, cioè buttare fuori dalle piattaforme social quei soggetti che le utilizzano per amplificare incitamenti all’odio o ad altri reati, teorie del complotto e fake news, funziona. Da quando PayPal ha bannato Roosh Valizadeh, “il più famigerato misogino del web” secondo The Daily Dot, e le sue prese di posizione pro-stupro, pure il suo sito è stato ridimensionato.
Anche per questo probabilmente il complottista di ultradestra Alex Jones ha fatto causa a PayPal per il ban dei suoi siti InfoWars.com e PrisonPlanet.com. (Motherboard)
Intanto, gli editor di Wikipedia hanno votato per mettere al bando il sito dell’alt-right Breitbart come fonte di fatti, a causa della sua inaffidabilità (Motherboard)
Mentre Twitter è accusata di non bannare abbastanza...
La maggior parte dei profili Twitter che diffondevano notizie false durante le elezioni presidenziali del 2016 negli Usa sono ancora attivi oggi, riferisce uno studio della Knight Foundation (Nieman Lab)
La donna che si fingeva Guccifer2.0
Questa è una piccola storia che vi segnalo perché se la si legge a fondo se ne ricava una micro-lezione di vita e di giornalismo. Nell’indagine americana sugli hacker russi che avevano violato i Democratici, l’Fbi è arrivata a indagare una donna in Ohio che aveva aperto un account Twitter col nome di Guccifer2.0, l’entità online che aveva attaccato i Democratici. Tanto che il vero Guccifer (gli agenti russi) si erano dovuti aprire un altro account Twitter perché il loro alias era già preso. Ovviamente la donna non c’entra nulla coi russi, il suo è un gesto slegato e anche irrazionale per chi indagava, che per un certo tempo ha messo sotto la lente i tweet della donna cercando e rilevando connessioni che non c’erano. Perché una lezione? Perché riesco perfettamente a immaginare, nella mia esperienza, una situazione del genere. Dove i giornalisti e gli investigatori cercano spiegazioni logiche, connessioni sensate ma a volte è solo caos. La mia lezione personale è dunque la seguente: di fronte a un rompicapo, cercare sempre la spiegazione più semplice. Se non funziona, passare a quella che mette in conto la stupidità umana. E solo dopo passare a teorie più elaborate. My 2 cents, ovviamente. (Buzzfeed)
CALIFORNIA DREAMING
La California detta legge, o almeno ci prova
Difesa della net neutrality
Il governatore della California Jerry Brown ha firmato la legge statale sulla neutralità della rete, e come risultato è arrivata subito una causa legale dal Dipartimento di Giustizia. La legge proibisce agli Isp di bloccare o rallentare l’accesso a contenuti legali, così come di chiedere tariffe speciali ai siti per dare priorità al loro traffico e va in controtendenza rispetto alla decisione della Commissione federale per le comunicazioni che sotto Trump ha deciso di smantellare le protezioni a tutela della neutralità della rete.
Trasparenza sui bot
Ma negli stessi giorni il governatore ha firmato anche un’altra legge che vieta agli account automatizzati, i bot, di farsi passare per persone reali. Non sono messi al bando ma devono rivelare la propria identità di bot. (NBC)
Donne nei board
Sempre lo stesso governatore ha firmato un’altra legge che richiede alle società quotate e con sede nello Stato di avere delle donne nei board, in modo progressivo a partire dalla fine del prossimo anno. (Engadget
GAMING
Uno dei videogame più popolari in Cina, Honour of Kings, sta testando l’uso del riconoscimento facciale per verificare l’età degli utenti. Lo scopo è fare in modo che siano obbligati a seguire le regole introdotte per limitare le ore di gioco in base all’età, e ridurre il rischio di dipendenza. (BBC)
FACEBOOK HACK
E ora?
Da una settimana all’altra le storie invecchiano alla velocità della luce. Dunque i postumi dell’attacco a Facebook? Sappiamo che, secondo il Garante per la protezione dei dati irlandese, il numero di potenziali account europei colpiti dalla compromissione dei token di accesso sarebbe meno del 10 per cento (sui 50 milioni di profili direttamente interessati): ovvero sui 5 milioni.
Sappiamo che, sempre secondo il garante irlandese, Facebook avrebbe notificato l’attacco giovedì, dunque entro le 72 ore previste dal GDPR; anche se mancavano dettagli. Tuttavia sarebbe normale dare una prima notifica meno dettagliata e precisare successivamente. (Wall Street Journal)
L’indagine interna di Facebook non avrebbe trovato prova del fatto che gli attaccanti abbiano avuto accesso alle app che usano il Facebook Login, ha detto il social network in un altro comunicato. I dubbi però rimangono: come hanno fatto questa verifica? si chiede Jake Williams, un noto esperto di cybersicurezza.
Lettura collegata: Facebook sta usando la sicurezza come pretesto per nascondere l’erosione della privacy? (TechCrunch)
CRYPTOVALUTE
Coinbase, la startp al centro della febbre crypto, è valutata una società da 8 miliardi di dollari (Recode)
CYBERCRIMINE
Hacker vendono botnet e account di Fortnite su Instagram (Motherboard)
SMART SPEAKER
Quasi un quarto delle case americane ha degli smart speaker ma sono usati soprattutto per ascoltare la musica, riferisce Nielsen (The Verge)
Ti è piaciuta? Inoltrala a chi potrebbe essere interessato.
Per iscriversi a questa newlsetter: https://tinyletter.com/carolafrediani
Se vuoi mandarmi suggerimenti basta rispondere.
Buona domenica!