[Guerre di Rete - newsletter] Siti governativi e tracciamento; l'attacco al produttore di alluminio; russi e fake news e altro
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
Numero 27 - 24 marzo 2019
Oggi si parla di:
- tracciamento online e siti governativi
- attacco ransomware a produttore di alluminio
- Myspace, gli utenti e il disagio
- la legge russa sulla fake news e i cavi nell’Artico
- mercato degli spyware
- truffe a caccia del nostro stipendio
- Cina e cyber
- AI
- e altro
AD TRACKING
Cittadini europei tracciati pure sui siti governativi
Inizio con uno studio interessante e che ha avuto poca risonanza sui media italiani.
Quando i cittadini europei visitano siti governativi o di enti locali, incluse risorse su salute, malattia e altri temi sensibili, sono tracciati da più di cento aziende. Che raccolgono i loro dati per poi rivenderli ad altri, a data broker e realtà dell’advertising.
È la fotografia scattata da uno studio di una società danese che fa consulenze sulla privacy e vende strumenti antitracking, Cookiebot. Secondo tale report, ci sarebbero ad tracker - tecnologie che raccolgono dati sul comportamento degli utenti a fini pubblicitari - sui siti ufficiali governativi di 25 Stati membri dell’Ue. In testa per numero di ad tracker il governo francese, con 52 aziende diverse che tracciavano il comportamento degli utenti. A fare la parte del leone il tracciamento di Google, YouTube e DoubleClick - la piattaforma pubblicitaria di Google.
(Ad esempio, sul sito del governo italiano www.governo.it la ricerca identifica i seguenti domini di tracking: doubleclick.net, facebook.com, twitter.com, youtube-nocookie.com, youtube.com).
La parte più rilevante è che questi tracker sono presenti anche su siti che si occupano di salute pubblica, e che hanno pagine su temi particolarmente sensibili, come Hiv, aborto, malattie ecc. Ebbene la metà di questi, fra i siti analizzati dalla ricerca, contengono ad tracker. Anche siti italiani (il 47 per cento). La ricerca cita ad esempio una pagina della Regione Lombardia sulle parrucche per malati oncologici (tracking: google.com). E una pagina del ministero della Salute sull’alcolismo (tracking: doubleclick.net, youtube.com).
Cosa significa in concreto? “Una volta raccolti, questi dati possono essere rivenduti attraverso data broker ad aziende interne ed esterne all’industria pubblicitaria”, scrivono gli autori del report.
Ma di quali dati stiamo parlando? Lo chiedo a Claudio Agosti, che da tempo si occupa di tracciamento online, con Facebook Tracking Exposed, e con un altro progetto simile (che ancora non si può citare pubblicamente). “Quello che succede è che in genere i tracker già ti stanno tracciando, e nei casi specifici continuano a tracciarti anche quando vai su questi siti sensibili. Quanto indietro nel tempo vada questo tracciamento, dipende da alcune variabili, ad esempio dal fatto se hai cancellato i cookie di recente; o da quanto queste aziende investano nel ricollegare utenti attraverso meccanismi diversi. Quello che tracciano è sapere dove ti stai muovendo nel tempo su internet e contribuire a un sistema in cui tali informazioni sono raccolte e possono essere interrogate da qualcuno che stia cercando determinate fasce di persone - ad esempio della Lombardia e categorizzate con più indicatori per un certo profilo (come stare cercando cure per una malattia).
Ma perché succede su siti govenativi o di enti pubblici? In fondo questi siti non non usano pubblicità. Il fatto è - scrive il report - “che i tracker usano tecniche inventive per ottenere accesso a siti non commerciali attraverso servizi gratuiti di terze parti, come plugin video e bottoni per la condivisione social” o la sezione commenti. Per questo “gli sviluppatori dovrebbero stare attenti quando includono componenti di terze parti nel loro sito”.
Mi spiega ancora Agosti:” Per quanto riguarda questo tipo di tracking sui siti governativi, è vero che di solito è per ignoranza, ma va considerata la catena di produzione dei siti web (che va di subappalto in subappalto), per cui talvolta chi crea il sito si sta basando su dei template fatti da altri che includono tracker. Siccome la tecnologia non è così trasparente e comprensibile, esistono iniziative che vogliono permettere a chiunque di analizzare il proprio sito e vedere che rimpiazzi possono utilizzare”.
Vedi anche FT; Bloomberg
Risorse utili: https://netograph.io
DATI
Myspace perde i file degli utenti
Da un anno i link musicali su MySpace - il sito più popolare negli Usa nel 2006, poi avviato verso il declino - non funzionavano più. Ora la società ha comunicato che tutti i file caricati tra il 2003 e il 2015 - 50 milioni di canzoni - sarebbero andati persi. "A causa di un progetto di migrazione del server, tutte le foto, video e file audio che avete caricato più di tre anni fa non sono più disponibili su MySpace. Ci scusiamo per il disagio", hanno dichiarato (Boing Boing).
Ci scusiamo per il disagio... Proprio così: siamo tutti pendolari dei nostri dati nell'era delle piattaforme digitali. Non solo il treno non è nostro ma nemmeno lo guidiamo; né abbiamo voce in capitolo sulle fermate o su come dovrebbero essere fatti i vagoni. Gli orari esistono e sono scritti pure nero su bianco ma nella pratica sono spesso aleatori. A volte il treno si rompe. E a volte viene cancellato senza preavviso.
(No, non ci sarebbe un backup. Sì, la storia della cancellazione per errore ha convinto poco alcuni osservatori secondo i quali, più semplicemente e amaramente, i costi della migrazione potrebbero essere stati maggiori di una apparente brutta figura).
CYBERATTACCHI/CYBERCRIMINE
L’attacco ransomware a uno dei maggiori produttori di alluminio
A mezzanotte dello scorso lunedì uno dei più grandi produttori al mondo di alluminio, il colosso norvegese Norsk Hydro, con impianti e uffici in 40 Paesi e 35mila dipendenti, ha subito un pesante attacco ransomware (i virus che cifrano i file e chiedono un riscatto) che ha provocato il rallentamento delle operazioni, e che in alcuni impianti ha avuto un limitato impatto su una parte della produzione.
La vicenda è molto rilevante per due motivi: il tipo di azienda colpita - si parla di sistemi industriali in cui un attacco del genere può portare al blocco della produzione; e la reazione esemplare dell’azienda, anche dal punto di vista dell’informazione. Si può ben dire che sia stato un buon esempio di risposta all’incidente (incident response) e di gestione della comunicazione di crisi.
Partiamo dall’attacco. Che sarebbe stato rilevato dall’azienda nella notte di lunedì - a distanza di un giorno dall’insediamento del nuovo Ceo, per altro, che ora può vantare di aver vinto il premio per il peggiore primo giorno di lavoro dell’anno - quando sono state notate delle irregolarità nei sistemi. La situazione è evoluta rapidamente, e dopo alcune ore la multinazionale riscontrava problemi di produzione in Europa e negli Stati Uniti; mentre nella mattina di martedì non aveva più sito, network o IT a disposizione, e in tutti gli uffici gli impiegati venivano disconnessi, anche se continuavano a comunicare fra loro attraverso il cloud (Office365) e dispositivi mobili, riferisce Kevin Beaumont. Nello stesso tempo l’azienda doveva ricorrere a una serie di procedure manuali (no IT) anche nei sistemi industriali per contenere l’emergenza. Se infatti la produzione di bauxite e allumina non ha avuto problemi, altre operazioni, tra cui impianti di estrusione e la produzione di laminati in Europa e Stati Uniti, ne hanno invece risentito, anche se in un numero non precisato di strutture. Si è trattato di un attacco ransowmare, di matrice probabilmente criminale ma, come hanno dichiarato dalla Norsk Hydro, non è stato pagato alcun riscatto. Inoltre nel giro di due giorni nella multinazionale hanno iniziato a riprendere in mano la situazione. Sull’attacco non sono stati dati dettagli tecnici “perché c’è una indagine della polizia in corso”. L’ipotesi più accreditata finora è che si tratti del ransowmare LockerGoga, una variante abbastanza nuova e più difficile da individuare di altre. Non si tratta di un worm, non si autopropaga (come aveva fatto ad esempio Wannacry), e ciò vuol dire che gli attaccanti hanno fatto un’azione mirata; inoltre lo stesso malware era stato usato mesi fa in un attacco contro la multinazione francese di consulenza in vari settori dell’ingegneria Altran, nota Wired UK.
Veniamo dunque alla comunicazione di crisi, che è stata veloce e trasparente: Norsk Hydro si è mossa da subito su più canali per avvisare il pubblico dell’attacco già nelle prime ore. Ha usato prima Facebook e appena ha potuto il sito (prima hanno messo in piedi anche un sito temporaneo) - su cui non ha messo un solo comunicato, ma almeno tre diversi comunicati che mano a mano introducevano più dettagli. Questi comunicati spiegavano chiaramente dove l’attacco aveva avuto un impatto e dove no; quello che sapevano e quello che ancora non sapevano. Norsk Hydro ha quindi fatto una conferenza stampa trasmessa online (e lì rimasta, registrata) in inglese in cui ha anche risposto alle domande dei giornalisti.
Ovviamente tutto ciò ha riscosso il plauso di vari osservatori. Mi è stato segnalato che l’attacco è stato seguito con attenzione da altre aziende del Nord Europa, che hanno preso contromisure per alzare il livello di vigilanza.
EUROPOL
Intanto proprio negli stessi giorni l’Europol annunciava l’adozione di un protocollo comune per rispondere rapidamente, a livello di forze dell’ordine, a un cyberattacco di ampia scala e transnazionale (Europol).
RANSOMWARE
Nel mentre, pure un sindacato di polizia inglese è stato colpito da un ransomware (The Register).
BEC/TRUFFE
Truffatori a caccia del vostro stipendio?
A quanto pare i truffatori che usano la tecnica del Business Email Compromise (BEC) - in pratica impersonano qualcuno cui un’azienda deve dei soldi e chiedono un cambio di Iban per incassare fraudolentemente i pagamenti dovuti ad altri - ora stanno prendendo di mira i dipartimenti delle risorse umane e (udite udite) perfino i pagamenti degli stipendi. (Wired UK)
Pro-tip: ecco un ottimo esempio da cui partire se si vuole avere l’attenzione dei dipendenti sui temi di cybersicurezza.
Tuttavia ho delle perplessità sul modello di business cybercriminale sottostante. La BEC ha una logica da “prendi il malloppo e scappa”, e dunque che vada dietro al pagamento di stipendi mi sembra un po’ improbabile. In ogni caso gli italiani, con le loro buste paga in media poco esaltanti, sono probabilmente delle prede poco appetibili - da qui discende quella che potremmo chiamare “security by poverty”. ;-)
SORVEGLIANZA
Dentro il mercato degli spyware
Come il mercato del cyberspionaggio e dell’hacking di Stato - 12 miliardi di dollari di giro d’affari - alimenta sorveglianza, repressione e capacità cyber offensive in Stati autoritari, dall’Arabia Saudita agli Emirati. Pronti a usare questi strumenti - soprattutto spyware - anche su target in Europa. L’israeliana NSO e l’emiratina Dark Matter (di cui ho spesso scritto in questa newlsetter e non solo) “esemplificano la proliferazione di questo spionaggio privatizzato”, scrive un reportage del NYT. Cui si aggiungono, con una gamma di servizi più ampi, le israeliane BlackCube e PsyGroup.
BIG TECH
FACEBOOK
Ops le password
Settimana intensa per il social network, già reduce dallo sforzo di far sparire i video dell'attacco in Nuova Zelanda. Partiamo dalla vicenda più eclatante. Dopo la segnalazione/articolo del giornalista Brian Krebs, Facebook ha ammesso l’esistenza di un baco nel suo sistema di gestione delle password per cui centinaia di milioni di chiavi d’accesso degli utenti per Facebook, Facebook Lite e Instagram sono state salvate in chiaro, leggibili, in piattaforme interne. Non si tratta dunque di un leak esterno; tuttavia significa che migliaia di dipendenti dell’azienda avrebbero potuto fare una ricerca e leggere le password di qualcuno. Facebook dice di non aver trovato traccia di abusi. Ma il suggerimento è di cambiare password – gli utenti interessati dovrebbero comunque ricevere notifica (Wired).
Il fatto che siano stati colpiti soprattutto utenti di Facebook Lite, una versione leggera per dispositivi e connessioni poco performanti, fa riflettere, scrive Cristopher Weatherhead di Privacy International. “Questa storia è un altro esempio di come i più svantaggiati a livello sociale siano a rischio di avere i loro dati sfruttati aggressivamente da chi propone loro tecnologie, che si tratti di produttori, telco o servizi over-the-top come Facebook”.
Basta ads discriminatori
Facebook ha poi annunciato che d’ora in poi le pubblicità su case, lavoro e credito non avranno più la possibilità di indirizzare gli ads sulla base della razza, genere ed età degli utenti. Vittoria per una serie di associazioni di diritti civili.
NYT
GOOGLE
Cronaca di una multa annunciata
La Commissione Ue ha multato Google per 1,49 miliardi di euro per pratiche anticoncorrenziali. Il gigante è accusato di aver abusato della sua posizione dominante sul mercato per imporre un numero di clausole restrittive nei contratti con siti di terze parti che impedivano ai suoi rivali di piazzare le loro pubblicità su quei siti. Nel mirino questa volta c’era dunque Adsense per la ricerca e il collocamento del box di ricerca di Google su siti terzi. In pratica un sito che includeva il box di ricerca interna fornito da Google doveva usare anche le pubblicità distribuite dalla multinazionale (o questa veniva comunque avvantaggiata con delle clausole). Non è la prima multa presa da Google in Europa, il colosso ha già sulle spalle 7 miliardi di euro per altre due sanzioni Ue, ricorda il Financial Times.
Nel comunicato della Commissione è spiegato tutto
Le dichiarazioni della commissaria alla concorrenza Vestager
Corriere.it
RUSSIA
Giro di vite su internet in nome delle fake news
Il presidente russo Putin ha firmato una legge che multa chi pubblica “fake news” e commenti online che mostrano “una spudorata mancanza di rispetto”(?) per lo Stato. Chi dissemina informazioni che lo Stato bollerà come fake news dovrà pagare fino a 5mila euro e rotti se quelle informazioni avranno prodotto una “violazione di massa dell’ordine pubblico”. Multa fino a 1300 euro se “l’irriverenza” colpisce la Russia, il Cremlino, o la bandiera, e prigione se le violazioni sono ripetute. La legge permette anche di bloccare siti che si rifiutano di rimuovere presunte false informazioni.
Daily Beast
Cavi artici
Intanto la Russia, e le sue forze armate, si stanno preparando per la posa di un cavo transartico che sostenga le ambizioni di una internet nazionale (vedi precedente newsletter). I cavi saranno parte di un nuovo sistema di scambio di informazioni digitali chiamato Multi-service Transport Network System (MTSS).
The Barent Observer
BEZOS
Pensavo fosse hacking e invece era il fratello
Ricordate i messaggi e le foto private rubate a Jeff Bezos? Che il responsabile potesse essere il fratello della fidanzata del Ceo di Amazon era già emerso come sospetto. Ora l’accusa è che l’uomo abbia venduto le foto per 200mila dollari. (Gizmodo)
Della serie: il selfie più valutato della storia...
Qui la vicenda per chi non si ricorda (dalla mia newsletter)
Protip: non date mai in mano il cellulare a qualcuno se non vi fidate ciecamente di quella persona. Usate un codice di sblocco.
PREMIUM CONTENT
L’effetto Streisand spiegato bene
Il politico repubblicano Devin Nunes ha fatto causa a un consulente repubblicano, a due account Twitter di natura parodistica, e a Twitter stessa, per contenuti “diffamatori, d’odio e offensivi”. Dei due account-parodia, uno fingeva di essere la madre di Nunes; l’altro la mucca di Nunes (@Devincow) - gli account criticano in modo ironico il politico e la mucca prende spunto dalla sua fattoria di famiglia (The Verge).
Inutile dire che appena si è sparsa notizia della causa, la “mucca di Nunes” è diventata una star di Twitter, superando per numero di follower quelli del politico. È quello che si chiamava una volta effetto Streisand. A ben vedere ora potrebbe anche essere chiamato effetto Nunes. O la vendetta della mucca. Su Twitter intanto volava l’hashtag #themoovement.
Tuttavia, finite le risate, il punto è che quello di Nunes si inquadra in una serie di attacchi della destra americana ai social media perché accusati di essere troppo liberal.
Ma come...la scorsa settimana non stavamo parlando della radicalizzazione dei suprematisti bianchi onine? si chiederà qualcuno confuso. Già, la confusione è grande sotto il cielo.
Ad ogni modo l’attacco legale di Nunes (che, va sottolineato, nella causa tira in ballo anche Twitter, non solo i due account parodia) è un attacco al principio (sancito dalla sezione 230 del Communications Decency Act e spiegato qua in un tweet di un noto avvocato americano) per cui le piattaforme non sono considerate editori ma intermediari, e non sono ritenute responsabili dei contenuti immessi dagli utenti; quindi non devono decidere loro se un contenuto sia diffamatorio o meno, né devono effettuare una censura di massa preventiva, ma semmai agire a posteriori (Vox). La Electronic Frontier Foundation definisce quella legge e quella sezione “la più importante per l’innovazione della Rete”.
LETTURE
Twitter ha contribuito a tenere a terra il Boeing 737 MAX?
WSJ
NEONAZI
Il (fallito) tentativo dei neonazi di sfruttare bitcoin
Foreign Policy
PS: esiste un account Twitter automatizzato che monitora i pagamenti in bitcoin fatti a noti neonazi o figure della alt-right/estrema destra https://twitter.com/neonaziwallets
GIORNALISMO
Gli algoritmi sono sempre più parte della nostra vita, di quello che ci viene filtrato, presentato, offerto, raccomandato, concesso, garantito. Le persone tendono addirittura a fidarsi più di una raccomandazione algoritmica, rispetto ad una umana, almeno così sostiene uno studio della Harvard Business School.
Ma gli algoritmi sono fallibili; possono fare errori; sono “opinioni codificate” (Cathy O’Neil). I loro obiettivi, basi dati, risultati possono essere discutibili. Per questo il giornalismo si sta chiedendo come analizzare e fare informazione su questi temi, riferisce un articolo del Nieman Lab.
Le domande che i giornalisti dovrebbero fare sugli algoritmi
In sintesi, si parte dagli attributi di un algoritmo:
- che cosa fa quell’algoritmo (filtra, predice, classifica ecc)
- che cosa vuole ottimizzare (tipo: il tempo passato su un sito o una app)
- su quali dati si basa l’algoritmo e sono questi dati privi di pregiudizi?
- è spiegato agli utenti come l’algoritmo prende le decisioni?
-c’è un controllo dagli umani in grado di prendere velocemente decisioni e modificare l’algoritmo?
- il risultato dell’algoritmo è spiegabile/interpretabile?
- sono stati riportati errori?
- ci sono gruppi avvantaggiati o svantaggiati dall’algoritmo?
- i dati di queste operazioni sono conservati o condivisi con altri?
AI E CYBERWAR
“Regolare l’intelligenza artificiale per evitare una corsa alle cyber armi”, un articolo su Nature (vol 556) a firma di Rosaria Taddeo e Luciano Floridi. Interessante la tesi degli autori. L’Europa ha un sistema regolatorio ampio sul cyberspazio, ma è limitato, essendo solo difensivo, non trattando la parte offensiva né l’uso di AI. Invece dovrebbe intervenire aiutando a fissare dei confini, che cosa si intenda per risposta proporzionata ed eventuali sanzioni
Tweet di Floridi
AI
Bella infografica sull’era dell’intelligenza artificiale
Stanford
CINA
LAVORO
La durissima vita dei lavoratori tech cinesi
South China Morning Post
CYBERSPIE
Il cyberspionaggio cinese sta mettendo sotto pressione la marina militare americana
WashPost
SPIONAGGIO TRADIZIONALE
La Cina e il reclutamento di spie
Wired
GREAT FIREWALL
La capacità cinese di controllare la Rete è aumentata - un’analisi del Great Firewall (e un libro)
Financial Times
RITRATTO
Continuità e rivoluzione: come spiegare Xi Jinping a un occidentale
Il manifesto
CODICI
Per celebrare il suo centenario l’agenzia di intelligence britannica GCHQ ha rilasciato online dei simulatori per Enigma, Typex e Bombe.
The Register
BLACK MIRROR
Come gli sciami di droni cambieranno la guerra
BBC
SUPREMATISMO BIANCO
Come i suprematisti bianchi sfruttano i social
The Atlantic
Qui puoi leggere le passate edizioni https://tinyletter.com/carolafrediani/archive
Come viene fatta questa newsletter (e come leggerla)
Ti è piaciuta? Inoltrala a chi potrebbe essere interessato.
Per iscriversi a questa newsletter: https://tinyletter.com/carolafrediani
Se vuoi mandarmi suggerimenti basta rispondere.
Buona domenica!