Guerre di Rete- Sorveglianza e buone vacanze

Un anno di newsletter

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.111 - 27 giugno 2021

Questa è l’ultima newsletter prima della pausa estiva. Come sempre in estate Guerre di Rete va un po’ in vacanza (ora, lo so che un po’ di gente associa le vacanze della newsletter a catastrofi informatiche, ma si tratta di notizie false e tendenziose cui non bisogna dare credito….:D). 

Questa newsletter oggi sarà più scarna e succinta del solito, e sarà così costituita:

  • una selezione dei numeri della newsletter che hanno suscitato più interesse o che in qualche modo sono ancora attuali nell’ultimo anno (lo conto come gli studenti, da settembre a luglio)

  • un breve aggiornamento su alcune news della settimana

Per il resto, è stato un anno intenso. Riposate anche voi e, come ogni estate, che ci accompagni il mantra: “stacca stacca stacca!!”

--------------

UN ANNO DI GUERRE DI RETE
E’ stato un anno segnato dai ransomware, i virus che cifrano e chiedono un riscatto. Si è partiti a settembre con un incidente clamoroso in Germania, perché ha bloccato il pronto soccorso di un ospedale e una donna che è stata ricoverata altrove in ritardo è poi morta.
- Ransomware e ospedali; social, odio e moderazione
E si è proseguito praticamente per tutto l’anno, in una escalation che ha portato al blocco dell’oleodotto americano Colonial Pipeline
- L'oleodotto ha pagato. E ora?
Per poi concludere con un approfondimento dedicato all’organizzazione dell’ecosistema criminale dietro ai ransomware, in questo:
- Speciale Ransomware

Ma per restare nel campo cybercrimine, e nell’argomento “guerre di rete” per antonomasia, è stato anche un anno di incidenti o intrusioni a infrastrutture critiche che si sono rivelate in tutta la loro fragilità. E non sempre dietro a questi attacchi ci sono Stati stranieri, intelligence e via dicendo. Ma la domanda che assilla molti esperti è: se riescono a fare danni attaccanti quasi casuali e non specializzati, cosa potrebbero fare, volendolo, attaccanti strutturati?
- Intrusione nell’impianto dell’acqua 

E poi ci sono stati gli attacchi supply chain, che sfruttano la catena di fornitura del software per colpire un gran numero di target dopo aver compromesso un loro fornitore. Il caso di cyberspionaggio Solarwinds è un caso esemplare e che ha scosso gli Stati Uniti (prima vittima) al punto da influenzare le politiche cyber della nuova amministrazione Biden.
- Edizione speciale Solarwinds

Altro grande tema di quest’anno è stato il rapporto fra piattaforme, politici, moderazione dei contenuti. A partire da quell’evento quasi epocale del grande deplatforming di Trump.
-Trump e il grande deplatforming
Con tutto il contorno di dibattito su strumenti come il Comitato per il controllo di Facebook, e le sue prime decisioni (La Corte Suprema di Facebook vuole il diritto di satira). E con uno scorcio sulle indagini fatte per individuare gli assalitori del Campidoglio a gennaio, che sono una lezione importante anche sulle tracce lasciate online dalle persone.
- Le indagini online dopo Capitol Hill

Infine, c’è stato un anno di sorveglianza. Che riguarda Stati autoritari e illiberali, come l’Arabia Saudita, su cui sono emersi nuovi dettagli rispetto alla repressione dei dissidenti e l’omicidio del giornalista Khashoggi.
- Il Dissidente, cronaca di un assassinio pianificato
Ma riguarda anche gli Stati democratici che stanno chiedendo più controllo a partire dalle piattaforme, come raccontato sia in newsletter (Stati, piattaforme, censura e free reach) sia in questo articolo per Valigia Blu

Infine ricordo alcuni approfondimenti a tema come questo:
- Facciamo Threat Modeling assieme. Un esercizio in autodifesa digitale

2 anni di Fuori Controllo
Infine, visto che è estate e si va sul leggero, ricordo che esattamente due anni fa pubblicavo questo romanzo, un cyber thriller: Fuori Controllo (Venipedia edizioni) - qui la recensione di Daniele Barbieri. Per chi fosse interessato, in occasione di quest’anniversario l’editore ha creato un codice promozionale FC-2ANNI per i lettori di questa newsletter (30% sconto su acquisto dal negozio online dell’editore, fino a domenica 4 luglio). Da questo link si applica automaticamente il coupon al carrello, una volta scelto quale supporto avere del libro: https://mercante.venipedia.it/shop/libri/fuori-controllo/?coupon-code=FC-2ANNI

----------

E veniamo alle notizie della settimana:

SORVEGLIANZA
Amesys-Nexa, 4 indagati per complicità in tortura 
Quattro dirigenti (ex ed attuali) della società di tecnologie di sorveglianza francese Nexa Technologies (nota prima come Amesys) sono stati indagati in Francia per complicità in tortura.
Tra il 2007 e il 2014 la società in cui lavoravano avrebbe infatti venduto strumenti di sorveglianza a Libia ed Egitto, strumenti utilizzati dai regimi di Gheddafi e di al-Sisi per identificare dissidenti, giornalisti e attivisti, leggerne le email e i messaggi, e in alcuni casi catturarli, torturarli e ucciderli. Secondo le denunce, presentate dalla International Federation for Human Rights, e dalla French League for Human Rights, l’azienda non aveva il permesso del governo di vendere le sue tecnologie in Libia o in Egitto, scrive MIT Technology Review.

Ora la sezione sui crimini di guerra e contro l’umanità della Corte giudiziaria di Parigi valuterà se i quattro indagati debbano essere processati.
Decisive sembrano essere state anche le testimonianze di alcune vittime, arrestate e torturate, che avrebbero spiegato di essere state identificate attraverso le loro comunicazioni elettroniche, o come gli interrogatori si sarebbero basati sui contenuti di loro comunicazioni. In ogni caso questa decisione costituisce il riconoscimento da parte degli inquirenti francesi della possibilità di determinare il ruolo di aziende di sorveglianza nella complicità di violazioni di diritti umani, scrive l’International Federations for Human Rights, aggiungendo che l’incriminazione dei 4 dirigenti potrebbe precedere quella delle società come entità legali.

La notizia colpisce perché, come nota Wired US, questo genere di indagini e incriminazioni sono estremamente rare, mentre il mercato degli strumenti di sorveglianza è stato per anni deregolamentato. Anche per questo lo scorso anno l’Ue ha introdotto nuove regole che obbligano le aziende a ottenere delle licenze per l’esportazione per certe tecnologie di “uso duale” (che possono avere sia usi civili che militari/di intelligence) come gli spyware o altri software di sorveglianza. I governi che devono dare le licenze devono valutare la probabilità che tali strumenti siano usati per violare diritti umani (inutile dire però che queste norme lasciano comunque una certa discrezionalità ai governi). Lo scorso ottobre anche gli Usa hanno aggiornato le loro regole sull’export di software potenzialmente pericoloso e ora il Dipartimento del Commercio dovrà considerare anche i diritti umani nell’approvare o negare le licenze.

AMAZON/WICKR
Amazon si compra un sistema di messaggistica cifrata
Amazon (attraverso AWS, Amazon Web Services) ha acquistato Wickr, società americana che ha sviluppato un servizio di messaggistica cifrato end-to-end (in cui solo mittente e destinatario hanno le chiavi per cifrare e decifrare i messaggi), alla Signal, per intenderci. E la mossa non solo sembra aver preso alla sprovvista gran parte degli analisti e commentatori, ma nessuno sembra avere chiaro cosa implichi.
Fondata nel 2012 a San Francisco, Wickr ha raccolto un totale di 73 milioni di dollari in 4 round di finanziamenti, l’ultimo nel dicembre 2018. Offre una versione gratuita del servizio di messaggistica, che è usato e apprezzato da giornalisti, e utenti di vario genere; e un servizio a pagamento rivolto a imprese, governi, militari, e già utilizzato ad esempio da alcuni settori dell’amministrazione Usa, come le Dogane e la Polizia di frontiera, nota Vice.
D’altra parte AWS, parte rilevante del business di Amazon, ha alcuni grossi contratti proprio coi governi (e negli Usa ha un contenzioso legale con Microsoft che si è aggiudicata una commessa governativa per fornire servizi cloud, il famoso contratto Jedi).
Qualcuno ovviamente si chiede se una simile proprietà non farà fuggire una parte degli utilizzatori di Wickr. E’ anche vero che la necessità di comunicazioni sicure per aziende e governi è diventata questione all’ordine del giorno, dopo un anno segnato da molti episodi di violazioni informatiche, cyberspionaggio, attacchi, in mezzo a un contesto di lavoro ibrido, in cui molti dipendenti stanno a casa (e questo aspetto è stato proprio sottolineato dalle comunicazioni ufficiali AWS).

Del resto, non è un caso che Teams (servizio di messaggistica e video riunioni enterprise dell’acerrima rivale Microsoft) abbia da poco annunciato l’arrivo della cifratura end-to-end per le comunicazioni uno a uno. Zoom ha aggiunto la stessa a fine 2020. E non dimentichiamo che Facebook sta spingendo su Whatsapp Business. Insomma, c’è un mercato per la cifratura end-to-end, perfino un mercato governativo. Come tutto ciò si concili con le periodiche levate di scudi contro la cifratura stessa o alcuni servizi che la offrono però non è chiarissimo al momento.

MISINFORMATION GERMANIA
Mentre si avvicinano le elezioni federali in Germania per il rinnovo del Bundestag il 26 settembre, crescono le preoccupazioni per il rischio di campagne di disinformazione e cattiva informazione sia in merito al processo elettorale che alla Covid, senza che si sia investito molto in prevenzione. Osservata speciale, la destra estrema, scrive la newsletter di Politico.

MCAFEE
E’ morto John McAfee, su cui è già stato scritto tutto e il contrario di tutto, senza per altro dare la minima impressione di avvicinarsi a una qualche comprensione, anche solo giornalistica, del personaggio. Eviterò quindi di aggiungere altro a questo inutile esercizio di stile, ma mi limito a riportare alcune sue parole rilasciate qualche anno fa alla BBC e ricordate in questo podcast.

“Il problema della sorveglianza governativa è molto più difficile da affrontare (rispetto a quella derivante da criminalità, ndr) e per questo anche più minaccioso di ogni altra cosa combinata. Tutti i governi hanno iniziato a temere questo massiccio cambiamento nella tecnologia, per cui la missione originaria di proteggere i cittadini è diventata quella di proteggersi potenzialmente dai cittadini, ma non siamo i nemici”.
Alcuni però lo sono, chiede l’intervistatore, criminali, terroristi ecc per cui governi come l’UK dicono che in situazioni estreme devono poter accedere alle loro comunicazioni.
McAfee: “Sono sicuro che dicano così, ma la questione qua è che abbiamo convissuto coi criminali da sempre, ma questo significa che dovremmo sorvegliare tutto? No. Torniamo indietro a quando non c’erano i computer. Cos’era allora la cifratura? Era qualcosa che veniva sussurrato nell’orecchio. Ora viviamo in un'età tecnologica, in cui il sussurro è una comunicazione cifrata, qualcosa che nessun altro può sentire. Quindi se suona da pazzi che il governo ti dica che non puoi sussurrare all’orecchio di tua moglie, lo è anche quando ti dice che non puoi farlo via internet”.

GREEN PASS
Con l'arrivo del green pass, cominciano a comparire sui social le prime immagini di QR Code esibite da chi lo ha ricevuto. Qui Guido Scorza, componente del collegio del Garante privacy, spiega perché non è una buona idea (via Linkedin)

Smettiamola di dire che la privacy è un intoppo burocratico (Wired Italia)

CYBER
La Commissione europea vuole creare un team di sicurezza informatica comune (Wired Italia)

Un report sulla coordinated vulnerability disclosure in Canada (via Gianluca Varisco)

-------------------------------------------------------------
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter. Seguiteli!
I podcast della newsletter (che escono il lunedì in genere, anche se ora sono in pausa) li trovate sulle principali piattaforme (Apple PodcastsSpotifyGoogle PodcastAnchor.fm). Ogni due settimane circa esce anche Chat di Rete, podcast di interviste condotto assieme a Vincenzo Tiani.

→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.  La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista donatori).
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti. Ciao!