[Guerre di Rete - newsletter] Sorveglianza predittiva; riconoscimento facciale; elezioni Usa
E poi censura; e trojan... what else?
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.80 - 13 settembre 2020
Buongiorno a tutti, eccoci qua di nuovo dopo la pausa estiva. Sono già due anni che esiste questa newsletter. Nel tempo è cresciuta (di utenti e spero anche di contenuti), ma è sempre rimasta gratuita, accessibile, priva di sponsor, pubblicità o altro. Ricordo per chi fosse nuovo che la scrivo nel mio tempo libero, con l’intento di fare informazione su questi temi.
Qui raccontavo due anni fa come era nata e il suo senso. E qui c’è una sua presentazione in un convegno sui nuovi giornalismi. La trovate anche molto citata online e da testate varie - apprezzo sempre molto quei giornalisti che decidono di citarla, anche quando potrebbero usarla in silenzio (ma va bene lo stesso, è fatta apposta per essere usata in fondo). Ah, e qua c’è l’archivio di tutti i suoi numeri (a me serve molto, magari anche a qualcuno di voi).
Bene, le presentazioni sono fatte (e per altre info pratiche, ad esempio come contattarmi, andate in fondo). Basta chiacchiere, abbiamo un periodo intenso davanti. Buona lettura.
PS: Per chi è in zona ci vediamo domenica 27 settembre al Trieste Next, dove parlerò del mio libro #Cybercrime con Sergio Maistrello
PREDICTIVE POLICING
Sorveglianza predittiva e contee di polizia
C’è una storia dalla provincia americana che racconta plasticamente i rischi e le aberrazioni del predictive policing. Con questa definizione si intende, per farla breve, l’uso di varie tecniche di analisi dei dati per prevenire il crimine, tendenzialmente individuando dei target per la polizia. Ovvero “un metodo per impiegare risorse delle forze dell’ordine sulla base di analisi guidate dai dati che dovrebbero predire colpevoli, vittime o luoghi di futuri crimini”, secondo l’associazione Electronic Frontier Foundation. Queste tecnologie sono entrate nell’uso dei dipartimenti di polizia di varie città americane (e non solo) negli ultimi anni. A produrle aziende come PredPol, HunchLab, CivicScape, Palantir ma anche università, come la Carnegie Mellon University col suo CrimeScan. Nell’estate 2020, strumenti di questo tipo sono usati in dozzine di città statunitensi, da New York a Portland, da Orlando ad Atlanta.
Il concetto è il seguente: si analizzano grandi quantità di informazioni da crimini precedenti incluse indicazioni relative all’ora, stagione, meteo, tipologia di vittime, luogo e così via, al fine di inferire quando e dove del nuovo crimine potrebbe accadere. Esiste poi un predictive policing “person based”, basato sulle persone (e non sui luoghi). Si crea un sistema di rating che assegna agli individui un valore di rischio basato su un certo numero di flussi di dati, dall’età alla sospetta affiliazione a gang ai precedenti, ma anche al fatto se il soggetto sia stato a sua volta vittima di crimini, e altro. Entrambi i sistemi sono evidentemente problematici. Il sistema di rating delle persone crea delle liste nere imperscrutabili in cui chi ci finisce diventa automaticamente un sospettato per future azioni. E anche l’individuazione di aree geografiche a rischio può gettare sulle stesse, e soprattutto su chi le frequenta, un’aura di sospetto e un eccesso di controllo da parte della polizia, specie in contesti sociali dove sono già presenti discriminazioni contro minoranze (questo aumento di controllo significa spesso anche un aumento nella rilevazione di reati minori o infrazioni, che porta a sua volta ad alzare il punteggio negativo dell’area, e a maggiore controllo, in un circolo vizioso.)
Questo per quanto riguarda, come dire, l’astratta analisi sociologica. Ma il bagno di realtà ci arriva dalla contea di Pasco, in Florida. Qui dal 2011, al momento dell’insediamento, lo sceriffo decise di creare un avanzato programma di intelligence per fermare il crimine prima che avvenisse. Il risultato però è stato di mettere in piedi un sistema per monitorare e molestare continuamente vari residenti della contea, racconta un eccezionale reportage del Tampa Bay Times. Infatti l’ufficio dello sceriffo genera liste di persone considerate a rischio di violare la legge, in virtù dei loro “precedenti, di altra non specificata intelligence, e di decisioni arbitrarie prese dagli analisti della polizia”. A quel punto sono mandati degli agenti a cercare e interrogare periodicamente quelli che sono nella lista, senza alcun indizio fondato, mandato o prova che sia stata commessa qualche violazione. A essere interrogati anche parenti e amici, anche sul luogo di lavoro. Le spedizioni della polizia potevano avvenire a qualsiasi ora, pure di notte, e se trovavano resistenza si trasformavano in multe per piccole violazioni, come l’assenza del numero sulla cassetta delle lettere o l’erba non tagliata nel prato davanti a casa. Un ragazzino di 15 anni, colpevole in passato di aver rubato una moto (e di aver scontato la relativa pena) ha avuto visite della polizia per 21 volte, tra il settembre 2019 e il gennaio 2020.
I più tartassati dal sistema sono stati quelli identificati come “delinquenti prolifici”. A definirli come tali un algoritmo inventato dal dipartimento che assegna alle persone un punteggio in base ai precedenti, ma questi includono anche arresti per cui successivamente le accuse sono cadute. Il fatto di essere stato anche solo sospettato per qualcosa ti fa guadagnare punti. Tale punteggio viene poi “migliorato” mettendo assieme altri parametri, incluso il fatto di apparire in un report della polizia come testimone. Il sistema crea quindi una lista di trasgressori ogni 90 giorni, anche se gli analisti della polizia la rivedono a mano e determinano il centinaio di persone che dovrebbero rientrarci, inclusi i Top 5, i primi cinque. Poi partono le visite.
Moltissimi in questa lista erano giovani accusati in passato di reati minori. Loro e le loro famiglie sono stati quindi molestati per anni. Alcuni se ne sono andati, altri hanno fatto causa. Il ragazzo di quindici anni si è suicidato. Non sappiamo la causa del gesto, o quanto abbiano pesato queste “attenzioni” rispetto ad altri fattori, ma dal racconto emerge che di certo la situazione non è stata d’aiuto.
Torniamo al quadro più ampio. A giugno la città di Santa Cruz, California, è stata la prima negli Usa a mettere al bando l’uso del predictive policing. Proprio la città che era stata fra le prime ad adottarlo, nel 2011 (in quel caso la modalità era quella per area geografica, e non per persona). Tuttavia, dopo nove anni, la città ha votato per un divieto a causa del timore che quello strumento perpetuasse la diseguaglianza razziale. L’ordinanza della città descrive così la tecnologia in questione: “software che è usato per predire informazioni o trend sul crimine, o la criminalità nel passato o nel futuro, includendo (ma non limitandosi) le caratteristiche, il profilo o l’identità di qualsiasi persona ritenuta più a rischio di commettere crimini, i luoghi o la frequenza del crimine, o le persone colpite dal crimine previsto”.
Una delle pecche principali del predictive policing sono i dati fallaci che nutrono lo stesso sistema, spiega in un report la Electronic Frontier Foundation. Prendiamo ad esempio i dati su reati, violazioni accadute ecc. Non tutti questi eventi finiscono registrati. Inoltre alcune comunità tenderanno ad avere un maggior tasso di segnalazioni di altri. E come dicevo prima, un aumento di controllo può portare a un aumento di segnalazioni che può rendere il predictive policing “una profezia che si autoavvera”.La tecnologia, scrive ancora l’EFF, non può predire il crimine, ma “può solo usare la prossimità all’azione di polizia da parte di una persona come un’arma contro la stessa. Un individuo non dovrebbe vedere erosa la propria presunzione di innocenza perché un contatto casuale, un famigliare o un vicino commettono un crimine”.
Come raccontavo a giugno in newsletter, il movimento americano Black Lives Matter ha contribuito a rendere più forte la critica all’uso del riconoscimento facciale nelle città. Ora è probabilmente lo stesso clima di consapevolezza degli abusi da parte della polizia nei confronti di minoranze razziali negli Usa a mettere sulla graticola il predictive policing.
RICONOSCIMENTO FACCIALE
Il doppio ban di Portland
E a proposito di riconoscimento facciale. A Portland, in Oregon, città che continua a essere attraversata da molte manifestazioni del movimento Black Lives Matter, il consiglio comunale ha unanimemente votato per adottare due tra le messe al bando più nette di tecnologie di questo tipo negli Usa. Il primo divieto proibisce l’uso pubblico del riconoscimento facciale, ovvero l’uso da parte di agenzie della città, incluso il dipartimento di polizia. L’altro proibisce l’uso privato in ambienti pubblici, come parchi ed edifici.
Dunque le due ordinanze mettono al bando l’uso del riconoscimento facciale in negozi, banche, ristoranti, trasporti pubblici, alloggi per homeless, uffici medici, immobili in affitto, Airbnb, pensionati, e una vasta gamma di altri luoghi/attività. E consente alle persone di fare causa sia ai privati sia al governo nel caso di violazione delle norme. Rimangono fuori dal ban i club privati, i luoghi di culto, le case private e i luoghi di lavoro come fabbriche e uffici (ad eccezione delle zone accessibili al pubblico). via VentureBeat - Onezero
Riassumendo: Portland è importante perché per prima ha messo al bando anche l’uso privato/corporate in ambienti pubblici.
La lista di città Usa che hanno vietato il riconoscimento facciale: San Francisco, Boston, Oakland, Berkeley, Alameda, Santa Cruz, Somerville, Brookline, Cambridge, Springfield, Northampton, Easthampton, Portland ME.
RICONOSCIMENTO FACCIALE
Sei arrabbiato? Il software della polizia lo vuole capire
A livello globale però la battaglia sul riconoscimento facciale è tutta in salita. Lo si capisce da una notizia minore che arriva dalla Gran Bretagna. La polizia del Lincolnshire (UK) vuole testare una tecnologia di riconoscimento facciale che sostiene di dedurre pure alcuni stati d’animo (in particolare rabbia e stress) dei soggetti ripresi dalle telecamere, di riconoscere persone che indossino occhiali e cappelli, e di identificare chi porti una borsa. Le proteste non sono mancate. La critica, da parte ad esempio di associazioni come Big Brother Watch, è in sostanza di buttare soldi in tecnologie invasive, prive di efficacia, che espandono però lo stato di sorveglianza. L’AI (Intelligenza Artificiale) per individuare emozioni sarebbe un mercato in crescita, ma c’è ben poca evidenza che quella tecnologia funzioni, scrive NextWeb. E tempo fa l’istituto di ricerca AI Now aveva chiesto già la sua messa al bando per decisioni importanti. E questo senza nemmeno stare a cacciarsi nel rovo etico di registrare e classificare i presunti stati d’animo di persone che transitano per qualche luogo.
USA ELEZIONI 2020
Campagne presidenziali nel mirino di vari gruppi hacker (a partire dai russi)
Dopo mesi di attesa trepidante e di angosciante scrutinio di orizzonti immobili, in una sorta di riedizione digitale del Deserto dei Tartari, gli hacker russi sono tornati. Sono cioè tornati ad attaccare le campagne presidenziali americane, sostiene Microsoft. Che sul piatto aggiunge però pure Iran e Cina. “Nelle ultime settimane Microsoft ha individuato cyberattacchi contro organizzazioni e persone coinvolte nelle imminenti elezioni presidenziali”, scrive l’azienda sul suo blog, specificando che nel mirino sarebbero state sia la campagna di Trump che quella di Biden.
In particolare la multinazionale di Redmond avrebbe osservato tre distinti gruppi:
- il primo, Strontium, “che opera dalla Russia, ha attaccato più di 200 organizzazioni incluse campagne politiche, gruppi di advocacy, consulenti”. Strontium è uno dei simpatici nomignoli dati a un gruppo di hacker russi ritenuto tra i più avanzati e aggressivi, noto anche come APT28 o Sofacy o Fancy Bear. Si tratterebbe dello stesso gruppo implicato nell’attacco ai Democratici americani nelle presidenziali del 2016 che portò a vari leaks del Comitato nazionale democratico e di John Podesta, il capo della campagna di Hillary Clinton. E che il dipartimento di Giustizia Usa associò all’intelligence militare russa, GRU, incriminando alcuni suoi agenti (racconto quella vicenda nel mio ultimo libro #Cybercrime).
Rispetto al 2016 il gruppo si sarebbe però evoluto in alcune sue tattiche includendo nuovi strumenti per fare ricognizione del target e dei suoi sistemi (reconnaissance) e per offuscare le proprie attività. Inoltre mentre nel 2016 il gruppo si era affidato soprattutto all’invio di mail di spear phishing (phishing mirato) per catturare le credenziali delle persone, negli ultimi mesi si sarebbe invece impegnato in attacchi di forza bruta e di tipo “password spray”, ha usato cioè due tattiche per trovare le credenziali di un profilo in modo più o meno automatizzato.
Maggiore attenzione anche all’infrastruttura usata e all’uso di diversi indirizzi IP per rendere più difficile l’identificazione. In pratica il gruppo avrebbe migliorato un po’ la propria operational security (opsec), ovvero nel contesto specifico la propria capacità di non essere facilmente individuati (ma migliorata fino a un certo punto visto che Microsoft non si fa problemi a nominarli). C’è da dire che gli attacchi finora mostrati sembrano però sparare nel mucchio con poca strategia, se quanto meno stiamo alla parte emersa finora (e se non ci stiamo perdendo qualcosa nel mentre). Sicuramente, come avevo raccontato in newsletter mesi fa, i partiti Usa (e soprattutto i democratici) hanno rafforzato le proprie difese, specie quelle contro il phishing e questo può aver obbligato gli attaccanti a cercare strade diverse. In ogni caso APT28 o, come lo chiama Microsoft, Strontium, resta il gruppo più insidioso.
Qui un documento più tecnico rilasciato sempre da Microsoft su di loro.
- il secondo gruppo, Zirconium, “opera dalla Cina, ha attaccato individui di alto profilo associati alle elezioni, incluse persone legate alla campagna presidenziale di Joe Biden e leader di rilievo nella comunità che si occupa di relazioni internazionali”.
- il terzo, Phosphorus, “opera dall’Iran, ha continuato ad attaccare gli account personali di persone associate alla campagna presidenziale di Donald J. Trump”.
La maggior parte di questi attacchi, scrive ancora Microsoft, sarebbero però stati fermati da strumenti e sistemi di sicurezza.
Russia, Cina e Iran sono anche le tre nazioni indicate ad agosto dall’intelligence americana come i tre soggetti principali da cui aspettarsi cyber minacce in occasione delle elezioni 2020. Secondo la dichiarazione del direttore del National Counterintelligence and Security Center, la Cina avrebbe una preferenza per una non-rielezione di Trump; la Russia punterebbe a denigrare Biden e sarebbe pro-Trump; l’Iran cercherebbe di diffondere divisione e disinformazione, con particolare sfavore verso una rielezione dell’attuale presidente.
In generale il rischio sembra essere circoscritto a operazioni limitate di hacks-and-leaks su singole figure legate alle campagne presidenziali (un po’ come accadde con la vicenda di Podesta). L’infrastruttura usata per le elezioni risulta al sicuro. Almeno questo è quanto dichiarato da CISA, l’agenzia Usa per la sicurezza dei dati e delle infrastrutture, secondo la quale non ci sono segni di infiltrazione sui sistemi usati per registrare e conteggiare i voti (CNBC).
Intanto, sul fronte rischio disinformazione, Google e Twitter assicurano di essere pronti a un giro di vite su affermazioni false legate al voto di novembre, in particolare su quelle affermazioni che riporterebbero la vittoria di una parte in anticipo rispetto alle conferme ufficiali. Il timore è che l’utilizzo del voto via posta nelle elezioni americane potrebbe portare a dei ritardi significativi nel conteggio dei risultati e questo potrebbe aprire un varco per chi voglia diffondere falsità e confusione (BBC).
Tanto per non stare troppo tranquilli, alcuni esperti sul New York Times delineano alcuni degli scenari peggiori che potrebbero accadere alle elezioni, da ransomware a disinformazione fino alla debacle logistica del conteggio dei voti.
CENSURA
Dagli Usa alla Bielorussia con furore
Nelle contestate elezioni di agosto tenutesi in Bielorussia, il governo di Minsk aveva temporaneamente bloccato l’accesso a una serie di piattaforme e di siti, da Google a YouTube, da Twitter a Facebook, inclusi siti di notizie come la CNN e la BBC.
Secondo Bloomberg, il blocco sarebbe avvenuto grazie all’uso di dispositivi di Deep Packet Inspection (DPI), di ispezione profonda dei pacchetti, prodotti da una azienda americana, Sandvine, e ottenuti dal National Traffic Exchange Center, che in Bielorussia gestisce le rete del Paese, all’interno di un contratto da 2,5 milioni di dollari con un fornitore russo, Jet Infosystems. In pratica il percorso sarebbe il seguente: Usa -> Russia-> Bielorussia.
I sistemi di Deep Packet Inspection (DPI) permettono di monitorare e filtrare il traffico internet, “ispezionando i contenuti di ogni pacchetto che è trasmesso a un punto di ispezione, permettendo di filtrare malware o traffico non desiderato, ma anche di monitorare in tempo reale le comunicazioni, e di implementare blocchi mirati. Perciò la tecnologia DPI consente sia violazioni della privacy sia censura di massa”, scrive l’associazione Access Now. “Questo è stato documentato in molti Paesi, tra cui Etiopia, Kazakistan, Iran, Cina”. Sandvine è un’azienda canadese acquistata nel 2017 dalla società di private equity Francisco Partners, che l’ha poi fusa con Procera Networks. Francisco Partners era già nel mirino di associazioni di diritti digitali quando era proprietaria di NSO Group, il produttore di spyware israeliano. Così ora gruppi di attivisti come Access Now tornano all’attacco e chiedono conto a Sandvine e a Francisco Partners di queste vendite.
SORVEGLIANZA
Hotel spyware?
L’arresto di Paul Rusesabagina - l’uomo che ha ispirato il film Hotel Rwanda - da parte del governo ruandese solleva anche domande sul possibile uso di spyware da parte del Paese, scrive il Guardian. L’uomo sarebbe stato fermato mentre si trovava a Dubai e secondo i famigliari rapito dalle autorità ruandesi e fatto salire su un jet privato, con accuse legate al terrorismo. Le circostanze misteriose del suo arresto hanno indotto altri dissidenti del Paese a pensare che l’uomo sia stato sorvegliato elettronicamente. Più in generale il governo Kagame era già stato accusato di utilizzare spyware per monitorare critici e attivisti. “Nel 2019 almeno sei dissidenti connessi al Rwanda erano stati avvisati da Whatsapp di essere stati target di uno spyware prodotto dalla società israeliana NSO Group”.
Uno di questi era l’oppositore Faustin Rukundo, che vive in Uk, come avevo scritto mesi fa raccontando dell’attacco a centinaia di utenti Whatsapp (ne avevo parlato qua).
SE VE LO ERAVATE PERSO
SNOWDEN
Quel programa di sorveglianza di massa era illegale, corte Usa dà ragione a Snowden
Sette anni dopo la rivelazioni di Edward Snowden sulla stampa mondiale, una corte d’appello americana ha stabilito che il programma di sorveglianza della Nsa, l’Agenzia di sicurezza nazionale americana, era illegale (e inutile). Stiamo parlando in particolare di quel programma (fra i tanti che emersero dalle rivelazioni) che raccoglieva segretamente i metadati sulle telefonate di tutti gli americani, ovvero chi chiama chi, quando, quanto ecc. Un tipo di dato che rivela frequentazioni, grafi sociali, abitudini, e molte altre informazioni private, incluse condizioni sanitarie (ci sono degli studi al riguardo come questo). Il programma fu poi in parte riformato nel 2015, proprio a seguito del dibattito emerso, con l’USA Freedom Act. - Ars Technica.
Il tweet di Snowden.
Scrive Simone Pieranni sul manifesto: “La sentenza della corte d’appello americana, infatti, ha rafforzato e riabilitato il ruolo di Snowden: secondo i giudici, con le sue rivelazioni l’ex analista «ha provocato un dibattito pubblico significativo sull’opportunità della sorveglianza di massa da parte del governo americano» (...) E ancora: “Innanzitutto il testo della sentenza riabilita il ruolo di Snowden e sarebbe bene ricordarlo. Edward Snowden, analista della Nsa, venuto a conoscenza del piano di sorveglianza di massa da parte dell’agenzia tentò di denunciarne l’esistenza attraverso canali istituzionali. Ignorato e senza ottenere alcun riscontro, decise di passare all’azione solitaria, con l’aiuto del giornalista Glenn Greenwald, di alcuni media che pubblicarono via via parte del materiale e di WikiLeaks, senza la quale probabilmente Snowden oggi non sarebbe al sicuro, per quanto esiliato, in Russia.
Anche a questo proposito è bene ricordare che Snowden accettò la proposta russa – in mezzo ci fu una fuga a Hong Kong – dopo aver visto stracciato il proprio passaporto americano, dopo accuse di tradimento da parte di mezzo mondo politico americano e dopo il silenzio dei paesi europei che non offrirono alcun sostegno al whistleblower, tacciato anzi di essere una talpa, una spia, quando non un «amico di Putin» e come tale intenzionato a complicare la vita agli Stati uniti”.
Commenta su Twitter l’avvocato Carlo Blengino: “Sommessamente ricordo che in Italia i metadati sono raccolti per 6 (dico sei!) anni; Che non è previsto intervento giudice per loro acquisizione; Che Servizi accedono a tutti i DataBase di tutti i concessionari; Non abbiamo avuto uno #Snowden in IT, ma quanto a #sorveglianza…”
Più protezione contro sorveglianza intelligence, Consiglio d’Europa rilancia la Convenzione 108 su protezione privacy
E proprio Snowden viene citato nelle prime righe di una nuova recente dichiarazione da parte del Consiglio d’Europa (organizzazione di 47 Paesi che promuove la democrazia, da non confondere col Consiglio europeo), in particolare dal commissario per la protezione dei dati Jean-Philippe Walter, e dalla presidente della commissione sulla Convenzione 108, Alessandra Pierucci. La dichiarazione chiede una “migliore protezione per gli individui nel contesto del flusso di dati internazionali e il bisogno di un controllo efficace e democratico sui servizi di intelligence”.
Così esordisce: “Anni dopo le rivelazioni di Snowden che hanno portato alla luce l’entità della sorveglianza di massa da parte delle autorità pubbliche, la digitalizzazione delle nostre società è continuata a un ritmo veloce, tanto più accelerato dalla corrente crisi sanitaria che ha richiesto a molti di noi di lavorare, imparare e socializzare a distanza. (...). Alcune voci influenti hanno chiesto, a seguito della decisione Schrems II [presa dalla Corte di Giustizia Ue a luglio che ha riaffermato la necessità di garantire lo stesso livello di protezione ai dati trasferiti fuori dall’Unione rispetto a quella garantita dal GDPR, e ha affossato il Privacy Shield, l’accordo tra Ue e Usa, ndr), un accordo internazionale legalmente vincolante sulla protezione della privacy e dei dati personali. Questo strumento esiste: è la Convenzione 108+”. Il + sta per emendata recentemente da un protocollo (ne parlava qua il nostro Garante).
Vedi anche: Ue: cosa prevede la sentenza Schrems II che invalida il Privacy Shield - PolicyMakerMag
Intanto Facebook ha ricevuto l'ordine di non trasferire i dati degli europei negli Stati Uniti. Il Garante della privacy irlandese prova a mettere un blocco allo scambio di informazioni dopo la sentenza che interrompe lo spostamento di dati tra le due sponde dell'Atlantico.
Wired Italia
WIKILEAKS
Estradizione di Assange, la posta in gioco per il giornalismo
Il 7 settembre Julian Assange si è presentato in un tribunale britannico per opporsi all’estradizione negli Stati Uniti. Il fondatore di WikiLeaks è accusato di 18 capi d’imputazione, inclusa la violazione della legge sullo spionaggio, e se condannato rischia fino a 175 anni di carcere.
“Il tribunale esaminerà le accuse del Dipartimento di Giustizia degli Stati Uniti secondo cui Assange avrebbe cospirato assieme all'analista dell'intelligence dell'esercito americano Chelsea Manning con l’obiettivo di violare una password che avrebbe dato loro accesso a informazioni riservate del governo”, scrive Valigia Blu, ricordando che si tratta di una password che non è mai stata violata in realtà (e i documenti erano già stati prelevati).
Ma, come scrivevo in newsletter mesi fa, nell’intenzione dell’accusa, “non conta che Assange abbia “craccato” la password o meno, che Manning – la quale già aveva i documenti - abbia usato la password o meno. Conta che ci fosse un accordo fra i due, che sarebbe testimoniato da poche frasi buttate in chat. Chat che, per l’incriminazione, rifletterebbero “il fatto che i due collaboravano sul rilascio pubblico e che Assange attivamente spingeva per più materiali”.
Dunque la storia della password è l’appiglio a cui si attacca uno specifico impianto accusatorio che presuppone un accordo tra Assange e le sue fonti per ottenere documenti riservati, un Assange che procaccia leaks, che recluta hacker. E infatti nell’incriminazione più recente, gli americani ampliano il quadro, e lo “accusano di aver proprio “reclutato” hacker di Anonymous/Lulzsec e altri ancora, con l’obiettivo di violare sistemi e ottenere documenti riservati da organizzazioni governative” (come avevo scritto anche qua). Accuse che appaiono un contorno per dare più sostanza alla vicenda della password, l’elemento evidentemente più specifico (più forte), per così dire, di tutta l’incriminazione.
L’assurdità di questo impianto è però sintetizzato dal giornalista James Ball, che pur conoscendo bene Wikileaks (per un periodo ci ha lavorato, salvo poi allontanarsi in modo molto critico) non può certo essere descritto come un suo fan.
“Le autorità americane stanno cercando di inquadrare l’incriminazione di Assange come hacking, in relazione al suo apparente stupido accordo per aiutare Manning a ottenere (senza successo) la password di un altro analista dell’intelligence, nel tentativo non di accedere a documenti extra ma di coprire le sue tracce come fonte (di nuovo, senza successo). Un giornalista con esperienza saprebbe che ciò va oltre l’etica giornalistica - e certe protezioni legali - ma punire tale violazione con decenni di prigione non sembra certo commisurato”.
Il messaggio di Ball è inequivocabile: “Ora è il momento di difendere Assange, anche se lui non ti piace”.
Il mondo dei media, accusato di essere stato indifferente sulla vicenda, sta dunque iniziando timidamente a muoversi. Julian Assange non deve essere estradato, ha dichiarato il sindacato nazionale dei giornalisti in UK e Irlanda (NUJ). “Se verrà permessa questa estradizione, si manderà un chiaro messaggio che giornalisti ed editori sono a rischio ogni volta che il loro lavoro dia fastidio al governo americano. La libertà dei media nel mondo farà un passo indietro se Assange è obbligato ad affrontate queste accuse”.
“Se la Gran Bretagna capitola all’America di Trump, il diritto di pubblicare materiali provenienti da leak nell’interesse pubblico potrebbe subire un colpo devastante”, scrive il noto giornalista britannico Peter Oborne.
“L’estradizione di Assange minerebbe alla base lo stato di diritto”, scrive un accademico inglese su The Times.
Lunedì si riprende in tribunale - Guardian
INTERCETTAZIONI ITALIA
Nuova disciplina, nuove sale, nuovi trojan, ancora pochi paletti
È in vigore la nuova disciplina sulle intercettazioni, che tra le altre cose legittima l’uso dei trojan (anche se, nota qualcuno, manca ancora il decreto per la definizione dei loro requisiti tecnici). Sono stati investiti, sulle intercettazioni in generale, 60 milioni di euro in infrastrutture, allestite 140 sale dedicate, comprati centinaia di server e pc.
Nello specifico: “Il Ministero ha allestito 140 sale Centro Intercettazioni Telecomunicazioni (CIT) con rete dedicata e cablaggio e dotazione dedicata di Pc portatili. In ogni sala CIT è stato inoltre installato il server ministeriale e realizzato il software per la gestione dell'archivio digitale multimediale e per l'archivio documentale; 60 milioni di euro sono gli investimenti già spesi per le infrastrutture tecnologiche, per le opere murarie e per gli acquisti necessari; 700 i server e i rack dedicati alle sole intercettazioni; oltre 1100 i PC dedicati e destinati alle sale d'ascolto; circa 3.500 le persone coinvolte nella formazione specifica (personale amministrativo, magistrati e polizia giudiziaria)”, scrive Il Sole 24 Ore.
Sui trojan: “Dopo 4 proroghe è in pieno vigore la legge sulle intercettazioni telefoniche (Decreto legislativo n. 216/2017, poi modificato dal Decreto Legge n. 161/2019 convertito in Legge n. 7/2020), che legittima l’uso dei trojan. Ma manca ancora (art. 2, commi 3-6) il decreto del Ministro della giustizia per la definizione dei requisiti tecnici dei programmi informatici funzionali alle intercettazioni mediante trojan, software che dovranno avere caratteristiche tali da garantire affidabilità, sicurezza ed efficacia; dei criteri cui i titolari degli uffici di procura dovranno uniformarsi per regolare l'accesso all'archivio da parte dei difensori e degli altri titolari del diritto di accesso; e delle modalità e termini di informatizzazione di tutte le attività di deposito e di trasmissione relative alle intercettazioni. Insomma, data la invasività di questo strumento di indagine, manca un tassello fondamentale per garantirne l’utilizzo pienamente legittimato”, scrive Altalex.
Molto critico sulla nuova disciplina l’avvocato Eriberto Rosso, segretario dell’Unione delle Camere penali: “In materia di intercettazioni, la partita doveva giocarsi non solo sulle modalità di gestione dei dati – è comunque inquietante che per una parte del procedimento la gestione sia in mano a società private, con ogni conseguente considerazione in materia di sicurezza e segretezza – ma sui presupposti sostanziali che autorizzano il ricorso ad uno strumento così invasivo. Su questo piano il nostro Legislatore ha perso un’importante occasione per dare un equilibrio conforme alla Costituzione ai diritti in gioco. Resta comunque inaccettabile ed incompatibile con il principio della parità delle parti nel processo che sia riservata al pubblico ministero l’individuazione del termine, previsto dall’art. 268 comma 4 c.p.p., entro il quale il difensore può esaminare le risultanze e la documentazione inerente l’attività di intercettazione” - Il Riformista
Inchiesta Lega, un trojan nel cellulare dei commercialisti
La procura di Milano ha inserito un software spia nel telefonino di Michele Scillieri, revisore del partito. Intercettando ogni incontro, anche nella sede di via Bellerio, scrive Repubblica (paywall)
APP DI TRACCIAMENTO CONTATTI
A che punto siamo in Italia con Immuni?
(Iniziamo a piccoli passi per volta….. Per i nuovi iscritti: in archivio trovate tanti numeri della newsletter dedicati a Immuni, se volete ripercorrerne la storia)
- “I download sono a quota 5,5 milioni, 9,9 per cento della popolazione (al lordo però di disinstallazioni e di installazioni da parte dello stesso utente su più cellulari)”, scrive Il Sole 24 Ore, facendo il punto sugli ultimi numeri, le luci e le ombre di Immuni, l’app italiana per il tracciamento dei contatti nel contrasto al Covid-19, e aggiungendo come sulla sua diffusione pesino diversi fattori, tra cui una sfiducia generale da parte dei cittadini nei confronti della capacità di coordinamento complessivo delle autorità sanitarie.
Anche Wired si concentra sull’analisi dei dati, e traccia pure una mappa della diffusione regionale di Immuni che, partendo dal dato del ministero della Salute, stimi quante persone mancano all’appello per tagliare il traguardo del 15% raccomandato dall’università di Oxford. I più vicini sono Valle d’Aosta, provincia di Bolzano e la vicina Trento. I più distanti sono Sicilia, Campania e, ultima, la Lombardia.
- “Immuni, cos’è e come funziona l’app italiana contro il coronavirus” - Agenda Digitale
Postilla: Forse avrete sentito che alcuni ricercatori di sicurezza “hanno scoperto un bug nel sistema Apple-Google per il tracciamento Covid-19 che potrebbe avere impatti sulla privacy degli utenti e sulla sicurezza dei loro dati. Ricordiamo che è il sistema alla base anche di Immuni”, come ricorda Cybersecurity360.
Ma il rischio per gli utenti, scrive lo stesso articolo (e vari altri esperti concordano), è piuttosto basso. Il tema è semmai qua l’apertura del codice nel caso del framework usato (Apple-Google).
Riassumendo: non è questo bug la ragione per non installare Immuni.
Più in generale, come si sono comportati i vari Stati nell’adozione di tecnologie, e in particolare di sistemi di decisioni automatizzate (ADM), per contrastare l’emergenza Covid-19?
Per una visione globale, in termini geografici e tecnologici (gli strumenti presi in considerazione vanno dalle app di tracciamento contatti ai braccialetti elettronici), rimando a questo report di Algorithm Watch & Bertelsmann Stiftung.
5G ITALIA
I Comuni continuano a bloccare il 5G anche dopo il divieto del governo
Nonostante il decreto Semplificazioni impedisca ai sindaci di vietare le reti 5G, proseguono le ordinanze contro. Con rischi sui tempi e spese legali per gli annullamenti
Wired
APPROFONDIMENTI
CYBER SPACEFORCE
L’amministrazione Trump ha rilasciato la sua quinta Space Policy Directive, con una serie di best practices per l’industria spaziale su come proteggersi da minacce cyber (sì, pure lì). Al solito, il punto è pensare a una progettazione sicura fin dall’inizio. Le aree interessate sono i canali di comunicazione, il rischio di jamming o spoofing ma anche la sicurezza di funzioni critiche dei velivoli.
(via The Verge).
CYBER COMMAND E IL PERSISTENT ENGAGEMENT
Intanto il generale Nakasone, capo della NSA e del Cyber Command, spiega su Foreign Affairs come il Cyber Command implementi la strategia detta defend forward (il contrasto proattivo di attività cyber malevole avversarie, in modo tale da interromperle o degradarle e infliggere loro costi operativi). E come parte di questa strategia sia la dottrina del persistent engagement. Ovvero l’idea che il Cyber Command non deve prepararsi per il grande attacco ipotetico del futuro, ma competere con gli avversari giorno per giorno.
Nakasone non lo dice ma l’effetto è quello di una guerriglia persistente fra avversari, una guerra di posizione che spesso appare lontana e silenziosa (salvo esplodere a tratti, e apparentemente all’improvviso).
VACCINI E HACKER
Cosa è l’operazione Warp Speed, lo sforzo del Pentagono e della Nsa per aiutare le industrie farmaceutiche a proteggersi meglio dal rischio di cyberintrusioni - Cyberscoop
FINTECH
La storia di come un giornalista finanziario ha smascherato Wirecard (in inglese)
FT
CYBERCRIME
Come Tesla ha sventato un attacco ransomware organizzato da una gang che ha cercato di entrare nei suoi sistemi corrompendo un suo dipendente (senza riuscirci) – vicenda folle, in inglese su Electrek
CYBERSPAZIO
Parlare della fine del mondo con William Gibson - Rivista Studio
AI E LINGUAGGIO
Leggete questo articolo (inglese). È stato scritto da GPT-3, un generatore di linguaggio di OpenAI. Usa machine learning, delle istruzioni e un testo introduttivo e tenta di completarlo con un testo. Il Guardian, in un’operazione un po’ furbesca a mio avviso, ha messo insieme il meglio di diversi testi generati sulla base delle stesse indicazioni nell’articolo finale che potete leggere. Ognuno può valutare quanto sia avanzato o meno.
La cosa interessante è che non solo ha fatto scaturire un dibattito sullo stato di avanzamento dell’AI ma anche sull’hype prodotta al riguardo. In pratica c’è chi ha paragonato l’operazione a qualcuno che “ritagli alcune frasi dalle ultime mail di spam ricevute, le metta assieme, e sostenga che gli spammer hanno composto l’Amleto”, come rileva Next Web in una critica al pezzo del Guardian.
DOCUMENTARI
Segnalo The Social Dilemma, il nuovo documentario Netflix sull’impatto dei social media sulla società (segnalo ma non ho ancora avuto modo di vederlo).
Qui una recensione sul NYT
SALUTI E CONTATTI
Se qualcuno vuole contattarmi in modo anonimo (o, quanto meno, con una maggiore probabilità di privacy e senza dover passare per una casella email o un account legato a un telefono) può farlo andando su https://contact.carolafrediani.org/#/ via Tor Browser (se da dentro la newsletter non si apre link basta riscriverlo nel browser).
È una piattaforma open source creata da Globaleaks (che ringrazio! in particolare un grande grazie a Giovanni Pellerano) che permette a giornalisti, media e organizzazioni (qua ce ne sono alcune) di ricevere segnalazioni e a chi segnala di proteggere la propria privacy (qui un articolo in inglese su chi sono, che fanno).
Oppure potete scrivermi una mail con PGP. O contattarmi solo su Signal +14783944294. O, se non avete particolari esigenze di privacy, molto semplicemente, rispondere a questa newsletter.
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!