[Guerre di Rete - newsletter] Tracciati ovunque; Trump e Google e Cina; spyware e spioni
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
2 settembre 2018
SEGUITI DAL SITO AL MARCIAPIEDE E RITORNO
Questa settimana il tema forte è stato il tracciamento degli utenti online e l’incetta dei loro dati per profilarli. Tema che si era imposto con lo scandalo Cambridge Analytica (per le implicazioni politiche dirette), ma ora - finalmente - comincia pian piano a emergere la questione della profilazione commerciale. Che è meno sexy e più complicata, fino a ieri roba da studiosi che si rompevano la testa a ricostruire la ragnatela invisibile su cui si sparpagliavano pezzetti dei nostri dati.
Ora l’attenzione aumenta, complici due fenomeni: il GDPR, da un lato, che ha contribuito a sensibilizzare; e soprattutto, il nuovo clima politico di ostilità (techlash, come scriveva l’Economist a gennaio) verso le grandi piattaforme della Rete da parte di alcuni governi, fra Usa ed Europa.
Google e Mastercard
Dunque la notizia che Google ha comprato i dati sulle transazioni dei clienti Mastercard per collegare le pubblicità online con il comportamento effettivo e offline degli utenti che le hanno viste ha creato un certo scalpore. Il programma in questione, di misurazione delle vendite, era noto da un anno, e Google aveva già detto di avere accesso a circa il 70 per cento delle carte di credito e debito degli Usa attraverso dei partner. Interessante, all’epoca, ma cosa voleva dire in pratica? e chi erano i partner?
Ora sappiamo (grazie a uno scoop di Bloomberg) che Mastercard è un partner e che il sistema funzionerebbe più o meno così: un utente online - a condizione che abbia account Google, sia loggato e non abbia disabilitato l'ad tracking - cerca un televisore sul motore di ricerca, poi clicca su una pubblicità, poi naviga ancora ma non compra nulla. Due giorni dopo (basta che sia entro 30 giorni) esce, va a un negozio sotto casa e si compra proprio quel modello e marca di televisore, pagando con la sua carta di credito. Google, che compra i dati, anonimizzati, da Masctercard, riesce comunque a collegarli ai dati dei suoi utenti. E a quel punto può riferire all’inserzionista che ha messo la pubblicità del televisore che un certo numero di utenti hanno poi fatto un acquisto offline.
Non è ancora il Santo Graal della pubblicità online, ma siamo lungo la strada, rispetto alle triangolazioni che si dovevano fare prima per capire l’efficacia dell’inserzione. Google assicura di aver sviluppato un nuovo metodo di cifratura (double-blind) che impedisce a una delle due parti (chi ha accesso al comportamento degli utenti online e chi ha accesso a quello che fanno per strada) di accedere ai dati dell’altra. Onestamente, sulla cifratura, quasi nessuno dei commentatori sembra avere le idee chiare di che si tratti. E questo è uno dei temi ricorrenti: quando si tira in mezzo una tecnologia pro-privacy, devi dare i dettagli O, come dice il professore di crittografia Matthew Green, se non mi dai i dettagli, è una cavolata (bullshit).
NO PASARAN: SE IL BROWSER BLOCCA IL TRACCIAMENTO
Intanto, qualcosa si muove, in opposta direzione, su un altro fronte: quello dei browser.
Nel mondo fisico, le persone non si aspettano di essere inseguite da centinaia di commercianti intenti a spiare i prodotti che guardano o comprano mentre vanno di negozio in negozio. Gli utenti del web hanno la stessa aspettativa di privacy; eppure, sono tracciati ovunque vadano.
La mossa di Firefox
E’ pressapoco con queste parole che Mozilla, l’azienda che sta dietro al browser Firefox, ha annunciato (qui comunicato) una serie di cambiamenti che sono un pugno nello stomaco dell’industria del tracciamento online a fini commerciali. La principale è che le prossime versioni di Firefox bloccheranno automaticamente i codici di tracciamento piazzati da inserzionisti e società diverse da quelle che pubblicano il sito che stiamo visitando. In sostanza, in futuro (dalla versione 65, cioè dal prossimo gennaio) Firefox eliminerà il tracciamento cross-site, che è quel sistema con cui le aziende raccolgono dati sugli utenti seguendone la navigazione sui siti web attraverso dei tracker, tecnologie di monitoraggio.
Insomma, si è passati dal “Non Tracciare (per favore)” - ricordate il modesto tentativo con Do Not Track? - al “Non Traccerete”, No pasaràn! E altri blocchi, come quello per impedire di identificare gli utenti dall’impronta digitale del proprio apparecchio, sono in arrivo.
Nuovo trend?
Mozilla non è la prima a offrire protezione dal tracciamento. Lo ha fatto anche Safari (Apple), anche se in modo più limitato. Alcuni ricordano che il buon esempio lo aveva darto un browser di nicchia, Brave. Ad ogni modo, a questo punto, possiamo dire che esista un trend. Che, e qui viene il bello, mette all’angolo Chrome (Google). Che ha ovviamente molte più difficoltà a contrastare quel modello. Anche se, ricordiamolo, fa ancora la parte del leone, col 60 per cento di quota di mercato. Safari al 14. Mentre Firefox è solo al 5 (Statcounter). Per di più, c’è chi non perdona a Firefox di essere in parte finanziato da Google (che paga per le ricerche che avvengono attraverso il browser).
In conclusione: la scelta di Firefox è un segnale importante (audace, secondo The Verge) e come tale è stato salutato da quasi tutti gli attivisti pro privacy. L’argomento è arcano, ma è importante far passare l’idea di “minimizzare la quantità di dati raccolti dalle aziende attraverso la nostra navigazione online”. Perché, come nota qualcuno, “abbiamo bisogno sia di soluzione politiche come il GDPR sia di salvaguardie tecniche come quelle di Firefox e Safari”.
E c’è addirittura chi, come il professore di Princeton Arvind Narayanan, parla di “cambiamento culturale”.
RIFLESSIONE COLLEGATA
La raccolta dei dati dei consumatori c’è da prima di Facebook e Google e soci. Anche se la velocità di acquisizione, la correlazione delle informazioni e la loro granularitcontroà - insieme alla loro centralizzazione - sono aumentate drammaticamente in questi anni. Ma non basta, sostiene The Atlantic, prendersela con i due big della Rete.
SOCIAL MEDIA E POLITICA
Trump contro Google
Tornando al tema del techlash, del contraccolpo in reazione al potere crescente delle compagnie tech, va ricordato che Trump - riprendendo un leit motiv della destra americana secondo il quale le aziende della Silicon Valley, nei loro servizi e piattaforme, favorirebbero le posizioni progressiste, sopprimendo quelle conservatrici - ha attaccato frontalmente Google, dicendo che, su di lui, i risultati del motore di ricerca linkerebbero in gran parte contenuti negativi. La situazione sarebbe “seria” e “andrà affrontata”, ha twittato il presidente Usa. A quel punto tutti si sono lanciati nella divinazione delle sue parole. Si tradurranno cioè in nuove regole per Google e altre aziende tech? “Potrebbe essere qualcosa, potrebbe non essere nulla”, conclude salomonico The Verge in un bel pezzo sulla vicenda. Il Wall Street Journal è scettico sul fatto che Trump arrivi a regolamentazioni. Buzzfeed smonta l'accusa di Trump secondo la quale Google non avrebbe promosso il suo discorso sullo Stato dell’Unione (e lo avrebbe fatto con quelli di Obama). Non è vero, Google lo ha fatto (e lo ha detto). Ma che importa? La grancassa del sottobosco informativo della destra americana era già partita al grido di #Stopthebias.
Ad ogni modo, due giorni dopo la lamentela/minaccia di Trump, un senatore repubblicano americano ha chiesto alla Commissione federale per il commercio di riaprire un’indagine antitrust su Google.
E Facebook?
Sta restringendo l’accesso ai suoi dati pubblici anche da parte dei ricercatori. Il social network ha infatti chiuso l’accesso a Netvizz, una app usata da molti accademici per raccogliere dati dalle pagine Facebook (non dati personali degli utenti) con cui fare vari studi per capire di cosa (e come) stanno discutendo le persone, e analizzare vari fenomeni (ad esempio come si diffondono le bufale). Secondo il ricercatore Tristan Hothan (The Next Web), la decisione di Facebook “suona la campana a morto per l’accesso civico ai suoi dati pubblici (...). E “sta rendendo la sua piattaforma ancora più opaca, sconosciuta e incontrollata”.
Intanto, la rivista The Information ha mappato chi comanda a Facebook, i 100 alti dirigenti della società. E il gruppo di M-Team, il cerchio magico di Zuckerberg, per dirla all’italiana. Che include nomi come, oltre alla potente COO Sheril Sandberg, la numero due dell’azienda, anche il Chief Product Officer Chris Cox, il CTO Mike Schroepfer e il Vice President of Growth Javier Olivan. L’infografica è a pagamento.
Se non potete vederla vi ricordo che, anche se in modo meno dettagliato, una parziale mappatura/infografica era stata fatta da Recode.
E anche da Business Insider.
GOLFO PERSICO IMPAZZITO... PER GLI SPYWARE
La storia seguente è così tortuosa e selvaggia che non si sa bene come iniziare a dirla in poche righe. Allora: l’azienda israeliana NSO, nota da qualche anno perché vende software spia (spyware) ai governi e alle polizie, nota per avere capacità avanzate di infezione anche degli iPhone, nota perché, secondo i ricercatori del Citizen Lab, il suo software sarebbe stato usato (dal governo degli Emirati?) contro un premiato attivista per i diritti umani (Ahmed Mansour) oltre che, per il NYT, (dal governo messicano?) su attivisti e giornalisti messicani, oltre che, recentemente, secondo Amnesty International , contro un suo membro che opera in Arabia Saudita, ora è tirata in ballo in due cause legali portate avanti proprio dagli attivisti messicani e da un cittadino del Qatar.
L’accusa avanzata dai querelanti è che NSO - che ha sempre detto di limitarsi a vendere il software ai governi, che poi lo utilizzerebbero per i loro scopi - abbia direttamente hackerato delle persone su richiesta di un cliente, il governo degli Emirati, come “dimostrazione” che il software funzionava.
DI fronte a un rincaro di preventivo che giustificava un aggiornamento della tecnologia di spionaggio, funzionari degli Emirati, almeno secondo tale ricostruzione, avrebbero chiesto a NSO una prova del funzionamento: potete registrare le telefonate dell’emiro del Qatar? O di un certo principe saudita? O di un certo giornalista di un giornale arabo che sta a Londra? Quattro giorni dopo, via mail, ai funzionari sarebbero arrivati gli audio delle telefonate del giornalista di Londra, Abdulaziz Alkhamis, riferisce il New York Times
Secondo il quale, gli Emirati avrebbero anche usato il software di NSO per prendere di mira 159 membri della famiglia reale del Qatar. Da dove arriverebbero le prove di tutto ciò? Dalle email stesse di NSO, presentate nella causa legale e fornite da un giornalista del Qatar. E come le avrebbe ottenute lui? “Potrebbero essere state, a loro volta, rubate con una intrusione informatica”.
Archivia sotto: geopolitica del Golfo Persico; diritti umani; regolamentazione degli spyware; hacking; Wild Middle East
IL TERZO FATTORE (CINESE)
Pensavano di aver preso solo una chiavetta per proteggere gli account. E invece si sono ritrovati in mano un pezzo scottante di politica internazionale. Si potrebbe riassumere così la storia di Titan, le nuove chiavette/dispositivi per una robusta autenticazione a due fattori lanciate nei giorni scorsi da Google. Si possono comprare sul Google Store per 50 dollari ma solo negli Stati Uniti per ora. Qua la spiegazione di Google su come funzionano.
Tuttavia è nata subito una polemica sul fatto che queste chiavette Titan siano prodotte in Cina dall’azienda Feitian. E di questi tempi, è subito paranoia di infiltrazioni, manomissioni e via dicendo. Google ha semplicemente ribattuto di aver preso una serie di misure e precauzioni per evitare attacchi alla catena di approvvigionamento (Washington Post).
Ad ogni modo anche utenti non americani possono accedere al programma di protezione avanzato di Google, e su indicazione dello stesso comprare due chiavette simili su Amazon.
Però va detto che l’usabilità di questi sistemi è ancora bassa. Insomma, non è da tutti. Ma tutti possono abilitare intanto l’autenticazione a due fattori (senza dispositivi hardware) sui propri account. In quel caso per autenticarsi useranno, oltre alla password, i codici inviati via sms. O, meglio ancora dal punto di vista della sicurezza, una app apposita che genera gli stessi codici (ad esempio Google Authenticator)
La morale della favola la riassume il noto esperto di sicurezza Richard Bejtlic in un tweet: “Non puoi sfuggire agli aspetti politici della sicurezza”
METODO CINA APPLICATO A BITCOIN
Le piattaforme di pagamento online cinesi Wechat e Alipay restringeranno o bloccheranno le attività di quegli account coinvolti in transazioni in criptovalute (Coindesk). Si tratta dell’ennesimo giro di vite della Cina su questo settore, dopo aver messo al bando le offerte iniziali di criptovalute (ICO), chiuso cambiavalute locali, e rimosso profili dal popolarissimo social media WeChat. Le autorità ora vogliono anche bloccare 124 exchange gestiti all’estero ma che finora erano riusciti a offrire servizi di trading agli utenti cinesi. Restrizioni anche da Baidu, il motore di ricerca, che limiterà i contenuti sulle criptovalute nei suoi forum online (Coindesk). Chiusi anche dei siti di informazione che trattavano di questi temi (South China Morning Post).
Eppure, eppure… malgrado la scure censoria, le tecnologie blockchain continuerebbero a crescere in Cina. Secondo alcune fonti citate dal Wall Street Journal, il governo non ignora il loro potenziale valore, ma vuole irreggimentarle. Come ha fatto con internet. “Stanno cercando di riformarle e pulirle per poi adottarle in Cina nel modo in cui hanno adottato internet, con le loro regole”.
CRYPTO GEOPOLITICA
Le criptovalute potrebbero essere usate da alcuni governi per cercare, all’interno di strategie più ampie, di creare un sistema finanziario parallelo sganciato dall’America. E’ quanto sostiene l’editoriale su CNBC di Gal Luft, codirettore dell’Institute for the Analysis of Global Security.
“La banca centrale russa ha dato segnali di stare considerando il lancio di una critptovaluta nazionale chiamata cryptorublo, e nel mentre ha aiutato il Venezuela a lanciare la sua moneta digitale, il petro, sostenuta dalle vaste riserve petrolifere del Paese. Ora i membri del BRICS stanno disuctendo di una loro criptovaluta”.
CYBER BANKITALIA
Il 31 agosto è stato pubblicato online dalla Banca d’Italia il rapporto "Sicurezza cibernetica: il contributo della Banca d’Italia e dell’Ivass", un documento che offre una visione di insieme sul tema delle minacce al settore finanziario italiano. Bankitalia, in quanto gestore di infrastruttura critica, spiega di aver recentemente rafforzato le proprie difese anche con “l’elaborazione di una strategia di resilienza cibernetica dell’Istituto”, e la creazione di unità apposite, come il CERT (la squadra di risposta alle emergenze informatiche) della Banca d’Italia (CERTBI), un centro operativo di sicurezza informatica (SOC), e un centro operativo di rete (NOC).
LETTURE
L’universo di persone che cerca di ingannare i giornalisti continua a espandersi e le redazioni non sono pronte (Nieman Lab)
Dove si parla di deep fake (impressionanti manipolazioni video rese possibili dall’intelligenza artificiale) ma non solo.
Per ora il rischio maggior resta comunque il travisamento di immagini reali, attribuite a un certo evento o luogo, e invece riferite ad altri momenti o contesti. Il Washington Post affronta il problema investendo nella sua catena di approvvigionamento - Reuters, Storyful e AP - e contando sul lavoro di verifica fatto a monte.
Non avete capito cosa sono i deep fakes? Ne avevo scritto qua (Agi)
ASCOLTO
Un tuffo nell’hacking interstatale in questo podcast della BBC.