[Guerre di Rete - newsletter] Whatsapp contro NSO; Facebook e le pubblicità

Poi i social e i documenti di identità. E altro

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.50 - 3 novembre 2019

Di cosa si parla:

- Whatsapp contro NSO
- Facebook e gli ads
- I social e i documenti d’identità
- indagini forensi e Cellebrite
- e poi disinformazione, meme war e altro

WHATSAPP CONTRO NSO
Facebook e Whatsapp dichiarano guerra agli spyware
A maggio Whatsapp aveva annunciato di aver individuato e bloccato un attacco che sfruttava una vulnerabilità della sua funzione di video-chiamata (ne avevo scritto qua in newsletter). Un utente riceveva una video-chiamata, ma l’attaccante in realtà trasmetteva di nascosto un codice malevolo per infettare il telefono del ricevente. Non era necessario che la persona rispondesse alla chiamata.
Bene, ora, in questi giorni, dopo mesi di indagine, Whatsapp è uscita allo scoperto con una azione legale contro la società israeliana NSO, produttrice di trojan e spyware che vende a governi e intelligence, incolpandola degli attacchi subiti dai propri utenti. A dirlo è la stessa Whatsapp in un articolo sul Washington Post (testata non casuale, vi ricordo che ci sono sospetti - respinti da NSO, che finora ha sempre negato coinvolgimenti - che degli spyware siano stati usati contro l’entourage del suo editorialista Jamal Khashoggi, brutalmente ucciso dai sauditi, secondo la stessa intelligence Usa).
Come hanno ricondotto gli attacchi a NSO?
Gli attaccanti avrebbero usato server e servizi di hosting già associati a NSO, nonché account Whatsapp.
Chi erano i target?
Secondo l’azione legale promossa da Whatsapp, NSO avrebbe costruito una piattaforma di hacking che sfruttava una vulnerabilità dei server Whatsapp per aiutare i clienti a violare i cellulari di almeno 1400 utenti, tra aprile e maggio 2019.
Whatsapp avrebbe individuato almeno 100 attivisti dei diritti umani, giornalisti e membri della società civile in tutto il mondo, dagli Usa agli EAU, dal Bahrein al Messico, dal Pakistan all’India.
Un nome ad almeno una vittima
Uno di questi è stato intervistato dalla BBC. Si chiama Faustin Rukundo, vive a Leeds (UK) ma proviene dal Rwanda del cui regime è un oppositore, e ad aprile aveva ricevuto delle strane chiamate su Whatsapp da un numero svedese. Aveva provato a richiamare ma nessuno aveva mai risposto. Solo di recente ha scoperto di essere uno dei 1400, dopo aver ricevuto una chiamata dai ricercatori del Citizen Lab, che hanno contribuito alle indagini.
I target governativi
Ma ce ne sono altre di vittime, che potrebbero dare un risvolto geopolitico alla faccenda. Secondo Reuters, infatti, una porzione “significativa” di vittime erano funzionari governativi e militari di alto profilo, sparsi per 20 paesi, molti di nazioni alleate agli Usa. Uno scenario che apre la possibilità che alcuni clienti di NSO abbiano usato i suoi servizi non per fare indagini interne, ma per operazioni di spionaggio. Il professore di studi strategici e cyberwar Thomas Rid nota che mentre il ministro di Giustizia Usa chiede backdoor per Facebook/Whatsapp, militari e funzionari di governi amici venivano attaccati proprio con una backdoor (involontaria ovviamente). Come dire: qui il problema è rafforzare la sicurezza, non aumentare i buchi nella gruviera.
Da notare che Whatsapp avrebbe prima verificato la lista dei target con il database di possibili richieste da parte di Stati relative ad indagini, come terrorismo o pedofilia, ma non avrebbe trovato sovrapposizioni.
Cosa vuole ottenere la causa mossa da Whatsapp?
L’azienda controllata da Facebook ritene che quegli attacchi siano stati un abuso della sua rete; vuole una ingiunzione per fermare NSO dall’accedere alla sua piattaforma; ritiene che anche se NSO ha fornito i servizi a dei clienti, sia comunque responsabile in quanto architetto del software (BBC)
Che possibilità ha di vincerla?
La strada è in salita, secondo una analisi di Wired. In pratica Whatsapp sta accusando NSO di violazione del Computer Fraud and Abuse Act (e di altre leggi statali), ma il caso è un tentativo ardito di usare quella legge per “punire non solo gli hacker che hanno violato i computer di una azienda, ma anche quelli che sfruttano i suoi software per violare i computer dei suoi utenti”. Nel mentre però, c’è almeno un campo d’azione su cui Whatsapp sembra voler giocare. Infatti secondo alcuni voci non confermate, i dipendenti di NSO si sarebbero trovati chiusi tutti i loro account Facebook, Whatsapp, Instagram (ht Alex Stamos)
Il ruolo di NSO
La causa di Whatsapp - che allega vari materiali e manuali interni di NSO - getta però nuova luce sul funzionamento del software della società israeliana e i suoi rapporti con i clienti. E mostra un ruolo più attivo di quello che si pensasse nell’assistenza degli stessi. Ad esempio, scrive Vice, nel confezionare messaggi di phishing per specifici target.

FACEBOOK
Pubblicità politiche, che fare?

Abbiamo visto che Facebook ha deciso di non fare fact checking sulle pubblicità dei politici, una decisione che ha raccolto varie critiche. Ora si aggiunge una lettera interna di 250 dipendenti, secondo la quale permettere ai politici di mentire nelle pubblicità è una minaccia alla stessa azienda (NYT).
Cosa dice la lettera?
“La libertà di espressione (free speech) e la propaganda (paid speech) non sono la stessa cosa. La cattiva informazione (misinformation) ci riguarda tutti”. La decisione di non fare fact checking sui politici è una minaccia a quello in cui crede Facebook (...) “perché permette di trasformare la nostra piattaforma in un’arma prendendo di mira persone che credono che i contenuti postati dai politici siano veri”.
Il suggerimento è dunque di considerare gli ads politici come gli altri, ma nel contempo usare sistemi visuali per far capire ancora di più che sono ads. Inoltre - punto importante - i dipendenti suggeriscono di limitare il targeting per gli ads politici. Attualmente è normale per un politico caricare la lista degli elettori per poi usare gli strumenti di tracking comportamentale (come i pixel) e l’engagement con le pubblicità per raffinare ancora di più gli ads. Il rischio è che le persone non possano avere la possibilità di controllare pubblicamente quanto viene detto. “Inoltre questi ads sono così microtargeted (mirati su gruppi specifici, ndr) che le conversazioni sulla nostra piattaforma sono ancora più rinchiuse dentro silo separati di altre”. Infine, esplorare la possibilità di un silenzio elettorale.
(Per inciso, proprio di microtargeting e di questo problema ho parlato sabato su Omnibus - La 7, min 47)
La proposta
La situazione è molto mutevole e dinamica. In queste ore sul piatto c’era infatti anche una proposta da parte di una delle società che fanno fact checking per Facebook di trovare un sistema bipartisan per fare fact checking anche sugli ads politici. Vedremo (CNN)
La provocazione
Mentre si svolgeva questo dibattito, un politico e attivista di San Francisco, Adriel Hampton, si registrava come candidato a governatore con lo scopo di pubblicare pubblicità false su Facebook, in una sorta di atto dimostrativo (CNN).

PROPOSTE ITALIANE
Documenti per usare i social? Anche no, dai

Per un qualche motivo che mi è incomprensibile (nella sua essenza, non nei fattori esterni scatenanti), siamo di nuovo tornati a parlare di proposte di legge per far presentare i documenti (carte d’identità ecc) agli utenti che vogliano usare un social network o un servizio online pensando in tal modo di eliminare o ridurre l’odio online. Proposte che negli anni sono state sempre bocciate da una miriade di esperti e quindi accantonate. Ora c’è stata la proposta del deputato Marattin (qui la sua intervista a Corriere), e dunque è ripartito un film già visto.
Mi limito a mettere dei link, iniziando con un momento amarcord:
2014, copertina di Wired: Fabio Chiusi e la sottoscritta scrivevamo perché chiedere i documenti fosse inutile se non dannoso. Ma il tempo passa e i temi ritornano dunque….
In questa settimana del 2019:
- Profili sui social network e carta d'identità: perché non è possibile
L'idea di "schedare" tutti i cittadini che abbiano un profilo social pone problemi tecnici, giuridici e politici insormontabili (Giovanni Ziccardi)
- Odio e disinformazione (che sono ovunque per strada, in TV, sui social) sono una seria questione culturale. Come si affrontano? (Arianna Ciccone)
- Disinformazione, propaganda, bugie, minacce, insulti, provocazioni, odio hanno diritto di cittadinanza in Rete? (Fabio Chiusi su Valigia Blu)
- La lesione dei diritti dei cittadini è da sempre un chiaro tema reazionario (ok, il suo vero titolo è un po’ più tranchant) (Il Post - Massimo Mantellini)
- Una sparata controproducente (Radio dell’avvocatura - Francesco Micozzi - audio)
- Perché questo genere di proposte sono inutili - uno Stefano Zanero già di qualche mese fa (ma sul tema direi d’annata, come il vino buono).
- Velleitario e pericoloso (dichiarazioni Garante Privacy)
Mi fermo qua, anche se ho lasciato fuori molti altri interventi, ma se mi costringete a riparlarne, la prossima volta ve li metto tutti, ok?

Riassunto e disegnino semplificato per chi non ha tempo o voglia: quel tipo di proposta per quel tipo di problema equivale ad avere le zanzare in casa e a sparar loro cannonate. Le zanzare restano, i buchi nei muri rendono la tua casa (i diritti di tutti) ancora più fragile. Meglio mettere degli zampironi e modificare l’aria che si respira.
Dunque oltre a investire massicciamente, in modo pianificato, a tutti i livelli, in cultura digitale (un tipo di formazione che sarà cruciale per la nostra sopravvivenza come nazione avanzata, detto en passant) e in educazione civica e cultura generale, si può chiedere, ad esempio:
- al governo: molte più risorse a magistratura e postale per indagare su reati
- alle piattaforme: procedure più snelle ed efficienti per ottenere i dati in caso di indagine
- alle piattaforme: canali più diretti con gli utenti che siano vittima di attacchi organizzati e sistemi per tutelare categorie più deboli o esposte
- alle piattaforme: spiegazioni chiare e trasparenza quando decidono di rimuovere contenuti in violazione delle loro policy, procedure chiare per appellare tali decisioni, revisione umana di decisioni automatizzate
-alle piattaforme: più strumenti in mano al singolo utente per gestire come preferisce il proprio feed, quello che vede, quello che vedono gli altri, come interagire con altri ecc
-alle piattaforme: trasparenza massima sulle pubblicità, specie quelle politiche, valutare se limitarle in qualche modo o fare altri controlli
- ai politici: chiedere di abbassare i toni, non aggredire utenti, non aizzare folle online e offline, tenere sotto controllo i propri spazi social ecc
- ai media: non dare rilevanza, se possibile, ai primi 4 idioti che insultano qualcuno online per ottenere esattamente quello, visibilità.
E ovviamente molto altro, ma era solo per dare un assaggio di come inquadrare diversamente la questione.

CINA E BLOCKCHAIN
Fedeli alla blockchain

Abbiamo visto che la Cina si è lanciata sulla blockchain con anche investitura dall’alto di Xi Jinping. Ora il partito comunista cinese ha chiesto ai suoi membri di attestare la loro fedeltà su blockchain. Chissà cosa ne penserebbe Satoshi Nakamoto. Ad ogni modo si potrebbe usare anche per le promesse elettorali dei nostri politici…. (si scherza)
Coindesk

USA/CINA
Avanti col ban Huawei e ZTE

La Federal Communications Commission andrà avanti con la proposta di vietare ai giganti delle telecomunicazioni americane l’uso di apparecchiature di rete delle cinesi Huawei e ZTE, perché per l’agenzia sarebbero un rischio alla sicurezza nazionale.
TechCrunch

SPOTIFY
I podcast stanno andando bene su Spotify
QZ

APT28
Olimpiadi nel mirino

Gli hacker russi noti come APT28 o Fancy Bear stanno prendendo di mira 16 organizzazioni sportive e anti-doping in vista delle Olimpiadi 2020, avvisa Microsoft
Zdnet

DEEPFAKE
Fa un deepfake porno su una ragazza, arrestato

Uno studente indiano è stato arrestato per aver usato le foto su Instagram di una teenager al fine di produrre un suo deepfake (video in cui sono riprodotte le fattezze di qualcuno per dire o fare cose che non ha mai fatto) pornografico e minacciare di distribuirlo poi online (Ndtv).
Da una breve ricognizione mi pare che i deepfake su celebrità (e non) in India siano molto diffusi. Un anno fa una giornalista indiana schierata a difesa dei diritti delle donne era stata presa di mira con deepfake pornografici.

CELLEBRITE
Il caso Boettcher e lo sblocco del suo iPhone

La società israeliana Cellebrite - che si occupa di estrarre dati da dispositivi - ha pubblicato un caso studio in cui descrive come sono stati usati i suoi servizi in una vicenda di cronaca giudiziaria italiana, quello della coppia Boettcher/Lovato, e della aggressione con l’acido all’ex fidanzato di lei. Tra i reperti sequestrati a Boettcher c'era un iPhone, protetto da un PIN di 4 cifre che il ragazzo diceva di non ricordare. Come indicato nel case study, le consulenti dei legali di parte civile avevano già rinvenuto e analizzato un backup dell'iPhone che però risultava essere stato prodotto un paio di mesi prima dell'aggressione: per poter avere un quadro completo della vicenda si decise quindi di provare ad accedere direttamente all'iPhone. Era l’inizio del 2015. I magistrati allora incaricano un noto ed esperto consulente informatico forense, Mattia Epifani, di capire come gestire la situazione e presentare loro tutte le opzioni sul tavolo per provare a ottenere anche quei dati. Alla fine viene scelto di provare con Cellbrite, riferisce il rapporto.
“L'aspetto rilevante che Cellebrite evidenzia nel suo case study - commenta a Guerre di Rete Paolo Dal Checco, altro noto ed esperto consulente informatico forense - è che Cellebrite è stata in grado di sbloccare un iPhone protetto da PIN in un momento nel quale il loro servizio era l'unico disponibile, a parte alcune soluzioni rischiose che funzionavano solamente in particolari condizioni. L'incarico relativo allo sblocco dell'iPhone di Boettcher, inoltre, è stato tra i primi conferiti ufficialmente dall'Autorità Giudiziaria italiana alla società israeliana e ha dato il via a una serie d'incarichi conferiti ancora oggi, ovviamente su dispositivi più recenti”.
Case study

CATALOGNA
Rimossa l’app per coordinare manifestanti di Tsunami Democratic

La Spagna ha richiesto la rimozione da GitHub dell'app (APK) di Tsunami Democratic, usata per organizzare proteste in Catalogna, perché lo stesso movimento viene considerato dalla polizia una organizzazione criminale che faciliterebbe atti di terrorismo (ht @Orariccardo)
TechCrunch

STRUMENTI
Il creatore di Maltego ha realizzato un nuovo tool per estrarre e organizzare info mentre si naviga.
ht The Grugq

CYBERCRIME
Storia di un giovane americano che combatte i ransomware, creando strumenti per decriptarli, quando possibile. E’ il più grande creatore di decryptor gratuiti.
ProPublica

CILE
In Cile gli hacker svelano documenti riservati dei Carabineros - La Stampa

LETTURE

GIORNALISMO
Se vuoi una redazione di successo, devi avere una redazione rappresentativa della diversità della popolazione. Reuters Institute

GIORNALISMO LOCALE

La fiducia nelle notizie locali negli Usa è più alta rispetto ai media nazionali, ma non è tutto oro quel che luccica. Inoltre coprire in modo più aggressivo temi sociali e politici potrebbe far diminuire questa fiducia, ma diversamente si rischia di abdicare alla funzione del giornalismo.
Lo studio: State of Public Trust in Local News

DISINFORMAZIONE
Un paper che studia l’astroturfing politico - la creazione di campagne coordinate di finti attivisti per fini di propaganda/manipolazione - su Twitter. Tra le altre cose, solleva un punto interessante: gran parte delle campagne di questo tipo usano umani, e cercare solo bot (account automatizzati) rischia di essere un limite.
Political Astroturfing on Twitter: How to Coordinate a Disinformation Campaign

SFRUTTAMENTO
Schiave via app

Il mercato delle lavoratrice domestiche trattate come schiave e “vendute” via app In Kuwait e Arabia Saudita. Inchiesta BBC

MEME WAR
I meme come armi nella guerra dell’informazione e disinformazione

La ricetta: origine indefinita, più nocciolo di verità, più una scalata progressiva nella catena dei media, più amplificazione e consacrazione dai media tradizionali impegnati nel debunking - Technology Review

FABBRICHE DI TROLL
Una giornalista polacca ha lavorato sotto copertura in una agenzia di PR del Paese i cui dipendenti gestiscono decine di finti account a testa e su indicazioni della direzione promuovono determinati contenuti politici
Guardian

NON SOLO CYBER
Contro l’ossessiva ricerca della felicità - Aeon (EDIT: ho corretto il link prima era sbagliato)

Reminder:
- ci vediamo l’8 novembre a Bologna (ore 18, Libreria UBIKIrnerio, via Irnerio 17) per la prima presentazione del mio romanzo Fuori Controllo (edizioni Venipedia)
- il 9 novembre, sempre a Bologna, alla tavola rotonda di HackInBo (il programma).

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!