[Guerre di Rete - newsletter] Whatsapp e la mega-integrazione; spyware e spie; Google e GDPR e altro
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
Numero 19 - 27 gennaio 2019
Oggi si parla di:
- integrazione Whatsapp, Messenger, Instagram
- industria degli spyware e spie
- Google e GDPR
- censura
- manipolazione DNS
- Buzzfeed
- e altro
FACEBOOK
VERSO INTERGRAZIONE WHATSAPP, INSTAGRAM, MESSENGER?
Mark Zuckerberg vuole integrare i sistemi di messaggistica di Whatsapp, Instagram e Facebook Messenger. I tre servizi continueranno a operare come app autonome, ma “la loro infrastruttura tecnica verrà unificata”, scrive il NYT citando fonti interne riservate. Il piano dovrebbe completarsi tra 2019/2020 e richiede che migliaia di dipendenti Facebook riconfigurino il modo in cui funzionano le tre app. Tutte dovranno incorporare la crittografia end-to-end, quella più sicura, in cui solo mittente e destinatario possono cifrare e decifrare i messaggi scambiati, e che è implementata di default solo da Whatsapp (nella galassia Facebook intendo).
Implicazioni
Questa notizia - se confermata - ha implicazioni enormi. Certamente l’integrazione solleva questioni di privacy su come i dati (e quali) verranno condivisi fra i vari servizi. Oggi per iscriversi a Whatsapp serve solo un numero di telefono, Facebook richiede altre informazioni. E già non è chiaro che tipo di correlazioni vengano fatte fra questi servizi o dentro gli stessi (mesi fa la relazione Whatsapp-Facebook era entrata nel mirino di varie autorità europee per la protezione dei dati).
Ma l’unificazione delle tre app sembra addirittura portarci verso uno scenario alla Wechat, l’app/social piglia-tutto diffusa in Cina, che aggrega assieme diverse funzioni. Anche se paradossalmente c’è chi ritiene che la mossa di Zuckerberg sia fatta anche per anticipare e sventare contestazioni dalle autorità (del tipo: se unifico tutto, non mi chiederanno di staccare Instagram/Whatsapp, vedi tweet di Casey Newton).
Anche sul fronte sicurezza non mancano timori per questa possibile integrazione. Verrà davvero alzato il livello di sicurezza di Messenger/Instagram, o verrà abbassato quello di Whatsapp? si chiede ad esempio il crittografo Matthew Green.
Tuttavia c’è chi invece è meno pessimista e anzi saluta la notizia come positiva. Perché estenderebbe e rafforzerebbe la sicurezza e la privacy degli utenti, argomenta Alec Muffet, noto security evangelist. Tenendo sempre presente che non è sui contenuti delle conversazioni ma sui dati relativi alle stesse (chi, con chi, quando, quanto ecc), cioè sui metadati, che si giocherà e già ora si gioca la partita dal punto di vista degli interessi Facebook. Sulla stessa linea Alex Stamos.
Quindi? Tralasciando questioni antitrust, almeno sul fronte sicurezza, l’implementazione, i dettagli tecnici faranno la differenza. Tema da monitorare da vicino.
WHATSAPP/DISINFORMAZIONE
Whatsapp limita a 5 il numero di volte in cui un utente può inoltrare un messaggio. A luglio il limite era già stato ridotto a 20 inoltri. La decisione rientra nello sforzo della app (e della sua casa madre, Facebook) di combattere la disinformazione, le bufale e le voci incontrollate, e di fatto estende una sperimentazione già testata in India, uno dei Paesi finiti sotto la lente per la diffusione di notizie false, ma soprattutto di hate speech, sui social media e app di messaggistica. (Reuters). Anche il Brasile aveva avuto i suoi problemi al riguardo (NYT)
Per alcuni il limite serve a poco (Matt Suiche)
Anche per alcuni attivisti indiani il problema sarebbe più ampio. Proprio in questi giorni TIME analizza lo sforzo propagandistico via Whatsapp che alcuni partiti stanno allestendo in India. Come aveva già segnalato l’Hindustantimes, in previsione delle elezioni dei prossimi mesi, il partito del primo ministro Modi - Bharatiya Janata Party (BJP) - starebbe pianificando la creazione di gruppi Whatsapp per ogni seggio indiano. Ma siamo lontani dalla mobilitazione dal basso, Obama-style. Il rischio che tali gruppi diffondano odio e bufale è molto alto.
SPYWARE E SPIE
Citizen Lab nel mirino di spie
Storia incredibile. Di ricercatori anti-sorveglianza che vengono spiati e che a sua volta rispondono controspiando (per autodifesa) le loro spie. Di appostamenti in ristoranti degni di un film di Sidney Pollack.
I ricercatori di Citizen Lab (University of Toronto) che da anni sfornano report che monitorano i malware e gli spyware usati dagli Stati - sulla carta per ragioni di indagini, ma spesso per sorvegliare e punire attivisti, dissidenti e giornalisti, specie in Stati autoritari - sono stati avvicinati da spie/investigatori privati/non-si-capisce-bene-cosa, che fingendosi investitori/imprenditori hanno iniziato a fare domande sul loro lavoro, concentrandosi sui report dedicati all’azienda israeliana NSO, produttrice dello spyware Pegasus (rinvenuto sui dispositivi di giornalisti messicani, secondo il Citizen Lab, ma anche, ritengono i suoi ricercatori, sui telefoni di persone molto vicine al giornalista Khashoggi, ucciso dai sauditi – ne avevo scritto in newsletter qua) e sul rapporto con Israele. Nel mentre, i ricercatori venivano ripresi di nascosto. Ma poiché questi avevano mangiato la foglia, si sono portati dietro delle videocamere nascoste, con cui hanno contro-filmato i finti investitori (le loro società risultano inesistenti). Il tutto mentre a pochi metri stavano appostati i complici di queste misteriose spie, ma anche giornalisti allertati dal Citizen Lab. NSO ha sempre fermamente negato qualsiasi coinvolgimento sia nella vicenda Khashoggi sia in quest’ultima, strana, inquietante storia. Dunque di chi si tratta? (L’esclusiva AP)
Ai di là della vicenda specifica, sappiamo che c'è spesso un confine labile (e stretti legami) fra aziende produttrici di questi strumenti di sorveglianza, intelligence nazionali e private. E che tali strumenti non sono un prodotto qualsiasi, ma richiedono come minimo specifici e accurati regimi di controllo e regolamentazione da parte delle autorità.
Il Citizen Lab (che se avete seguito il mio lavoro conoscete bene) in passato ha scritto report su una serie di spyware/malware di Stato, e sulle aziende private che li realizzano, in particolare sulla anglotedesca Finfisher, l’italiana Hacking Team, l’israeliana NSO.
LE CHAT DEL PROGRAMMA DI SORVEGLIANZA STATALE
Nel mentre è emersa un’altra vicenda interessante. I ricercatori della società di sicurezza Lookout si sono imbattuti nei server mal configurati con cui veniva gestito un programma di sorveglianza statale. E su questi server hanno trovato le chat degli stessi operatori, in particolare le discussioni su quali prodotti comprare, quali funzioni o a chi rivolgersi. Le chat citano tutti i vendor più noti: NSO Group, Verint, FinFisher, HackingTeam, IPS, Expert Team, Wolf Intelligence. Alla fine scelgono di farsi un sistema loro. Budget complessivo del programma di sorveglianza: 23 milioni di dollari. I ricercatori non dicono quale Stato sia. Si accettano scommesse.
Comunicato Lookout
Vedi anche Cyberscoop
MULTA A GOOGLE PER VIOLAZIONE DEL GDPR
L'autorità francese di protezione dei dati (CNIL) ha multato Google con 50 milioni di euro per violazione del GDPR, il nuovo regolamento europeo sulla privacy. È la sanzione più consistente comminata finora nell'ambito del nuovo regolamento. La quarta in totale da quando la legge è diventata pienamente effettiva lo scorso maggio, secondo il New York Times (ma se si parla di multe sembrerebbe la terza - fonte European Data Protection Board)
"Il 21 gennaio il CNIL - l'autorità nazionale di protezione dei dati In Francia - ha imposto una multa da 50 milioni di euro a Google sulla base del GDPR per mancanza di trasparenza, informazioni inadeguate e assenza di un valido consenso [degli utenti, concetto cardine del GDPR, ndr] rispetto alla personalizzazione delle pubblicità", si legge nel comunicato dello stesso CNIL. Sotto la lente è finito in particolare il processo di configurazione di un telefono Android - il sistema operativo mobile sviluppato da Google - da parte di un nuovo utente e la creazione di un account Google.
E sono due le violazioni del GDPR individuate dal CNIL.
1) Violazione degli obblighi di trasparenza e informazione
Le informazioni sullo scopo del trattamento, la conservazione dei dati e le categorie di dati personali usate per la personalizzazione delle pubblicità sono disseminate su più documenti, bottoni, link ecc E non sono né chiare né complete. L’utente in tal modo non è in grado di comprendere l’estensione e le implicazioni della raccolta di dati.
2) Violazione dell’obbligo di avere una base legale per il processo di personalizzazione degli ads
In pratica il problema qua è che il consenso degli utenti non sarebbe stato ottenuto in modo valido. Perché non sarebbe abbastanza informato, specifico e non ambiguo.
"Ad esempio - prosegue il comunicato CNIL - nella sezione "Personalizzazione delle Inserzioni" non è possibile capire la pluralità di servizi, siti e applicazioni coinvolte nelle operazioni di trattamento dei dati (Google search, YouTube, Google Home, Google Maps, Playstore, Google Pictures ecc) e pertanto della quantità di dati combinati e trattati."
Inoltre per modificare la personalizzazione degli ads l'utente deve cliccare su un bottone un po' imboscato (il comunicato non usa questi termini ma il concetto pare di capire sia quello), dove l'opzione per ricevere ads personalizzati è già spuntata. E, prosegue CNIL, il consenso non è neppure specifico, così come viene raccolto.
La rivincita dell’attivismo
Da notare che il reclamo era partito da due associazioni europee, La Quadrature du Net e noyb, quest'ultima capitanata dall'attivista Max Schrems, di cui abbiamo parlato più volte (inclusa la scorsa newsletter). Insomma, Schrems è sempre di più una spina nel fianco delle aziende che non proteggono abbastanza la privacy degli utenti, e la dimostrazione che un certo tipo di attivismo dal basso ottiene risultati.
Reazioni: in Europa perlopiù positive se non entusiaste: l'azione viene vista come l'inizio di un nuovo atteggiamento a difesa degli utenti. "Stabilire che una pratica adottata da un'intera industria viola il GDPR è più significativo dell'ammontare della multa", twitta David Carroll.
Tra i commentatori americani non mancano critiche, tra cui spicca quella di Alex Stamos (ex-capo della sicurezza Facebook, oggi a Stanford) secondo cui gli europei starebbero prendendo di mira le aziende tech americane ignorando che le medesime pratiche sono adottate dalla sua stessa industria, anche quella editoriale.
Qui i comunicati noyb
Vedi anche TechCrunch e Lexology
CENSURA
Gli episodi di censura della Rete - totale, parziale o di singoli servizi - sono in aumento: 185 nel 2018 contro i 105 dell'anno prima, secondo i dati di Access Now. Nel 2019 ci sono già stati alcuni casi in Sudan, Bangladesh, Repubblica Democratica del Congo, Gabon e Zimbabwe. Ma la maggior parte delle censure avviene in Asia. In Europa non sono mancati episodi recenti: in Catalogna nel 2017 e in Russia con la app Telegram (CNN)
MANIPOLAZIONE DNS
L'allarme del governo Usa in mezzo allo shutdown
Il Dipartimento Usa della sicurezza interna ha emesso una direttiva d'emergenza che ordina alle agenzie federali civili di proteggere meglio le credenziali di login per gli account dei registrar, le società che registrano e a volte gestiscono i nomi di dominio per utenti e organizzazioni. La preoccupazione è che le agenzie federali siano vulnerabili ad attacchi mirati ad accedere alle piattaforme usate per gestire i DNS. Il sistema dei nomi di dominio (DNS) è volgarmente e riduttivamente definito come "la rubrica di internet", perché traduce (risolve) i nomi di dominio (l’indirizzo alfabetico di un sito, tipo tinyletter.com) nei corrispondenti indirizzi IP (205.201.132.124), permettendo all'utente che digita un certo sito nel browser di raggiungerlo. Ma se un registrar o più semplicemente un account presso un registrar vengono compromessi da un attaccante, questi può modificare i dati e ridirigere gli utenti verso un altro indirizzo IP, cioè verso un altro sito, nella maggior parte dei casi con intenti malevoli.
La parte interessante di questa notizia è che la direttiva sembra nascere dalla consapevolezza che almeno sei agenzie federali abbiano subito tale tipo di attacco o dei tentativi. Dunque si chiede alle agenzie di aggiungere una autenticazione multifattore ai loro account DNS, di cambiare le password, di fare verifiche interne e di monitorare i certificati digitali. Il tutto in dieci giorni. Nel mezzo dello shutdown federale.
Non so se qualcuno l'ha già scritto ma la confusione dello shutdown è sicuramente un'occasione ghiotta per attività cyber malevole. E questa direttiva sembra porsi il problema.
Qualche tempo fa era uscita una ricerca FireEye che mostrava come un gruppo di hacker manipolasse i record DNS per dirottare il traffico diretto ad alcuni siti verso server malevoli. La campagna è attribuita ad hacker iraniani e una delle modalità di azione era l'uso di credenziali di login per amministrare account DNS.
Cyberscoop
Misure minime e necessarie, commenta Alex Lanstein
GIORNALISMO
BUZZFEED LICENZIA
La testata Buzzfeed fa fuori il 15 per cento della sua forza lavoro, circa 220 persone su 1500. Cancellato in un sol colpo il desk di cronaca interna e quello di sicurezza nazionale, che annoverava firme autorevoli ed era stato autore di vari scoop. Licenziamenti anche in Spagna e in Gran Bretagna. Per il Ceo Jonah Peretti i tagli sarebbero un passo necessario "per concentrarsi sul contenuto che funziona". Se ne deduce che gli scoop sul Russiagate o altre questioni di sicurezza nazionale non rientrino in questa categoria, o meglio in questa visione (limitata). È il giornalismo di oggi, bellezza.
Licenziamenti anche all'Huffington Post Usa (Variety)
La decisione punta a ridurre i costi per raggiungere la profittabilità quest'anno. Anche se nel 2018 ha generato 300 milioni di dollari di ricavi (più del 15% sull'anno prima), l'azienda continua a perdere soldi e gli investitori la pazienza (New York Times).
È scoppiata la bolla dei media digitali? si chiede il Guardian. Forse non esiste un modello di business sostenibile per il giornalismo digitale se non sei il New York Times? Da tempo tira la cinghia anche Vice.
MICROSOFT CONTRO LE FAKE NEWS
Microsoft ha iniziato ad avvisare gli utenti che usano la versione mobile del suo browser Edge se vanno su un sito di notizie poco affidabile. A valutare l'affidabilità dei siti di informazione non è la multinazionale tech ma la startup NewsGuard, fondata da alcuni giornalisti, che classifica i siti in base a una serie di criteri, tra cui il fatto di pubblicare di frequente titoli ingannevoli o contenuti falsi, oppure la mancanza di trasparenza sulla proprietà e i finanziamenti. Il passo di Microsoft di incorporare NewsGuard nella versione mobile (prima era una estensione del browser per il desktop che gli utenti dovevano aggiungere) è abbastanza coraggioso (The Verge).
Il Guardian nota che NewsGuard, e quindi il browser Microsoft, avvisano i lettori di non fidarsi del Daily Mail quando provano a visitarlo. "Procedete con cautela", dice l'avviso. Si preannunciano tempi interessanti.
FACEBOOK E FONDI
Attenzione, segnalazione a forte rischio di flame, se lavorate nei media. Siete pronti?
"L'industria dell'informazione deve accettare il fatto che non c'è alcuna ingiustizia rispetto alla maggior parte dei ricavi che sono andati persi", ha scritto il giornalista James Ball. Le responsabilità delle piattaforme e i problemi di sostentamento del giornalismo sono e dovrebbero essere considerate due cose separate.
A questa argomentazione (da leggere, su Columbia Journalism Review) replica la giornalista Emily Bell. Al di là dei fondi per il giornalismo messi a disposizione da Facebook, quello di cui il settore avrebbe bisogno - scrive Bell -è una "garanzia che le condizioni sulle piattaforme beneficino quelli che producono informazione di qualità". Insomma i fondi in sé sono sprecati se quelle stesse aziende "sia individualmente che collettivamente non si rendono più ospitali per il giornalismo".
Sullo sfondo della discussione, ci sono i 300 milioni di dollari in tre anni appena promessi da Facebook per finanziare vari progetti di giornalismo, soprattutto a livello locale, che vanno a competere con i 300 milioni allocati da Google per progetti simili.
LA SAGA HUAWEI
- Non solo paure per il 5G. Ora anche le vendite di tecnologie per la produzione di energia solare da parte del colosso cinese sono finite nel mirino degli americani. Alcuni membri del Congresso Usa ritengono che l'uso di tecnologie Huawei nella produzione di energia elettrica possa esporre al rischio di cyberattacchi al punto da arrivare a interrompere la fornitura di elettricità (Financial Times) Nessuno di loro ha però mostrato prove che sostanzino una simile paura.
- Arriverà un ordine esecutivo di Trump che limiti l'operato di compagnie telco cinesi negli Usa? (Bloomberg)
- L’America continua a fare pressioni sugli alleati per abbandonare i progetti 5G di Huawei (da leggere - Sanger e altri su NYT)
INTERVISTA A JON CALLAS
Una bella intervista a uno degli esperti più autorevoli in ambito sicurezza, cifratura, privacy e backdoor. Jon Callas, già per anni alla Apple, oggi all'ACLU (organizzazione diritti civili), spiega perché gli esperti di tecnologia debbano occuparsi anche di politica. E perché alcune questioni non si possono lasciare solo a soluzioni tecnologiche (le leggi della matematica non bastano, per citare i cypherpunks).
E spiega perché non si fanno compromessi sulle backdoor. (Motherboard)
BITCOIN
La Georgia, l’ex repubblica sovietica, è impazzita per le criptovalute, grazie ai prezzi bassi dell’elettricità, alle tassazioni favorevoli e agli interessi degli oligarchi. Tutti a minare insomma. Con un focus sull’azienda Bitfury. Reportage NYT
AI IN AZIENDA
L'adozione di tecnologie di AI (Intelligenza Artificiale) nelle aziende è cresciuta del 270 per cento negli ultimi 4 anni, sostiene un sondaggio Gartner. Un dato che conferma quanto uscito da un recente rapporto Deloitte, in cui per il 42 per cento dei dirigenti di azienda intervistati l'AI sarà di importanza cruciale nei prossimi due anni (VentureBeat archivio). I settori evidenziati? Natural language processing, machine learning, computer vision e deep learning. Ma resterebbe il problema di trovare personale qualificato: data scientist, sviluppatori di software basati su AI, project manager ecc (VentureBeat)
CORREZIONI/AGGIORNAMENTI
Rispetto al pezzo della scorsa settimana sui data breach, segnalo che il numero di siti italiani presenti nelle #collection 1-5 sarebbe 127 di cui solo 16 non erano già noti a @lorenzostella - che ne tiene traccia (mio tweet)
In quanto a Mastercard, non era tutto oro quel che luccicava (mio tweet)
Ti è piaciuta? Inoltrala a chi potrebbe essere interessato.
Per iscriversi a questa newsletter: https://tinyletter.com/carolafrediani
Se vuoi mandarmi suggerimenti basta rispondere.
Buona domenica!