Guerre di Rete - Twitter e Uber sulla graticola
Europa divisa su spyware e chat control. I piani per la Scuola 4.0.
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.139 - 18 settembre 2022
Specie per i nuovi, ricordo che questa newsletter (che oggi conta più di 11mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista degli oltre 500 donatori).
In più, a marzo il progetto si è ingrandito con un sito indipendente e noprofit di informazione cyber, GuerrediRete.it. Qui spieghiamo il progetto. Qui l’editoriale di lancio del sito.
In questo numero:
- Ancora su Twitter e Mudge
- L’attacco a Uber
- Scuola 4.0 e realtà
- Spyware ed Europa
- Chat control: Ue divisa
- Giornalisti e online mobs
- RomHack e varie
TWITTER
Le mancanze sulla sicurezza provocano danni reali a persone reali
“Quello che ho scoperto [stando a Twitter] è che questa azienda enormemente influente era più di dieci anni indietro rispetto agli standard di sicurezza dell’industria. Non sanno che dati hanno, dove stanno, da dove sono arrivati e quindi non sorprendentemente non sono in grado di proteggerli. E questo porta a un secondo problema: cioè che i dipendenti hanno troppo accesso a troppi dati in troppi sistemi. Non importa chi abbia le chiavi se non hai alcuna serratura alla porta. E non è un’esagerazione dire che un dipendente dell’azienda avrebbe potuto impadronirsi degli account di tutti i senatori presenti in quest’aula”.
A parlare è ancora una volta Peiter “Mudge” Zatko, hacker leggendario già alla guida della cybersicurezza di importanti organizzazioni, inclusa Twitter, da cui è stato mandato via per poi diventarne il whistleblower con una denuncia depositata alla Sec americana in cui in sostanza accusa il social media di gravi mancanze di security e privacy (per la ricostruzione dettagliata di tutta la vicenda vi consiglio di leggervi questa edizione di due settimane fa della newsletter. Ricordo anche che il social finora ha respinto in modo netto queste accuse, parlando di inaccuratezze e false ricostruzioni da parte dell’ex dipendente).
Nondimeno, dopo la denuncia, Zatko ha reiterato le sue accuse anche di fronte alla commissione giustizia del Senato Usa, senza fare sconti o ammorbidire nulla. Le sue dichiarazioni ripercorrono perlopiù quanto già scritto nel precedente documento (esaminato nella newsletter citata sopra), con qualche dettaglio in più su alcuni aspetti, in particolare sull'infiltrazione di agenti governativi nell’azienda.
Nel corso dell’audizione, Zatko ha infatti specificato che avrebbe lavorato a Twitter almeno un agente straniero della Cina, in particolare del MSS (Ministry of State Security, i servizi di sicurezza esterni). Lo avrebbe saputo perché la stessa FBI aveva avvisato lo staff della sicurezza. Zatko ha detto che, oltre a ciò, delle pubblicità su Twitter pagate dal governo cinese avrebbero potuto carpire informazioni sugli utenti, inclusa la localizzazione di coloro che ci cliccavano.
Il dettaglio si aggiunge all’accusa, già messa per iscritto nella denuncia, che Twitter avesse ricevuto pressioni per assumere un agente del governo indiano.
“Se sei un agente straniero e sei assunto come ingegnere puoi avere accesso a tutti i dati, e puoi farlo per motivi diversi: per accedere ai piani di espansione di Twitter o per avere informazioni sullo stato delle negoziazioni con un governo (come nel caso dell’India), ha spiegato Zatko. E ovviamente anche per ottenere informazioni su singoli utenti.
Ma la frase forse più potente della testimonianza di Zatko è quella evidenziata anche dal WashPost: le mancanze sulla sicurezza “provocano danni reali a persone reali”.
Qua si può ascoltare la sua testimonianza.
La vicenda della denuncia di Zatko sui buchi di security e privacy di Twitter ha enormi implicazioni anche sullo scontro tra il social media ed Elon Musk per il (mancato) acquisto della piattaforma (anche qui vedi passata newsletter).
Interessante a tal proposito cosa sta avvenendo dietro le quinte, prontamente svelato dal New Yorker con un pezzo investigativo a firma di Ronan Farrow.
Numerosi ex colleghi di Zatko sono stati contattati su Linkedin o via email da società di ricerca e consulenza che, offrendo un compenso, volevano intervistarli sul whistleblower di Twitter. In pratica una serie di società - per conto di clienti diversi, legati al mondo finanziario e interessati all’esito delle dispute legali di Twitter - stanno cercando di ottenere informazioni sulla solidità della testimonianza di Zatko. Scrive Farrow: “L'apparente urgenza e aggressività delle domande su Zatko sottolineano l'enorme posta in gioco finanziaria legata alla disputa tra Twitter e Musk. Se il giudice deciderà che Musk deve portare a termine l'acquisizione, il valore delle azioni di Twitter ne uscirà molto rafforzato; se invece gli verrà permesso di abbandonare l’accordo, le azioni potrebbero crollare”.
CYBERATTACCHI
Un presunto ragazzino ha violato Uber
Uber ha subito in settimana una grave violazione informatica che l’ha obbligata a mettere offline diversi sistemi, tra cui Slack, Amazon Web Services, e Google Cloud Platform. A rivendicare l’attacco una persona che dice di avere 18 anni e di avere usato vari metodi di social engineering per ottenere un primo accesso. In particolare, sempre secondo dichiarazioni rilasciate dall’attaccante a vari ricercatori di sicurezza e media (una loquacità che abbiamo visto spesso associata a giovani età in passato, detto per inciso e non come elemento di prova), questi avrebbe prima ricavato le credenziali di accesso di un dipendente e poi avrebbe superato lo scoglio dell’autenticazione multifattore (MFA) attraverso molteplici richieste push di conferma sul dispositivo della vittima, che alla fine sarebbe stata convinta ad accettare dopo una finta telefonata da parte dell’IT dell’azienda. A quel punto l’attaccante avrebbe associato il suo dispositivo (qua un thread Twitter di alcuni ricercatori). L’intruso/a avrebbe avuto accesso alla VPN e poi ottenuto le credenziali di un admin dal network interno (qui altro thread tecnico). Ha anche pubblicato un messaggio sul canale Slack aziendale, che diceva in un misto di grandeur e tentativo di darsi un tono: “Annuncio che sono un hacker e Uber ha subito un data breach”. Molti dipendenti, evidentemente increduli e pensando fosse uno scherzo, hanno risposto con pop-corn e altre emoji simpatiche.
Uber ha dichiarato in un comunicato: “Non abbiamo prove che l’incidente abbia portato a un accesso a dati sensibili degli utenti (come la cronologia dei viaggi)”.
I commenti degli esperti si sono soffermati molto sul significato di “no evidence” e “sensitive”. Molto dibattito anche su come contrastare attacchi di social engineering di questo tipo, con la raccomandazione di passare a chiavi di sicurezza FIDO (molto più sicure di una autenticazione MFA come quella adottata da Uber e in verità dalla maggior parte delle organizzazioni).
Sul sito Guerre di rete avevamo dedicato un articolo proprio al fenomeno dei ragazzini che violano grandi aziende con tecniche di social engineering.
-> Incoscienti e sfacciati: le tecniche dei teenager che violano aziende, di Federico Nejrotti.
SPYWARE
Polonia e Grecia non collaborano con l’Ue
Come sapete se seguite questa newsletter e il sito Guerre di Rete, l’Unione europea ha creato una commissione (PEGA Committee) per investigare i possibili abusi dello spyware Pegasus (e di altri spyware) da parte dei suoi stessi governi, dopo che sono stati riscontrati casi in cui questi strumenti di sorveglianza invasiva erano presenti sui dispositivi di politici d’opposizione, giornalisti, procuratori in Grecia, Ungheria, Spagna e Polonia. Ma gli Stati non stanno affatto collaborando, anzi. Ora la stessa commissione ha dovuto dichiarare che le autorità polacche si rifiutano di cooperare con funzionari Ue nell’indagine sull’uso di spyware contro rivali politici. Allo stesso modo la Grecia ha messo in discussione l’autorità legale dell’Ue per investigare quello che ritiene essere un affare interno, e rifiutandosi di dire alcunché al riguardo. Alcuni eurodeputati in prima fila sulla questione Pegasus come Sophie in ‘T Veld (che abbiamo intervistato in questo articolo su Guerre di Rete a firma di Rosita Rijtano) ha chiesto un intervento di Europol per indagare sulla vicenda greca accusando le autorità locali di inadeguatezza nelle indagini.
Ma lo scandalo non è stato affatto dimenticato in Catalogna, dove pochi giorni fa si sono svolte imponenti manifestazioni di piazza contro la cybersorveglianza e in particolare contro il cosiddetto Catalangate, ovvero la denuncia che una serie di politici, giornalisti e attivisti catalani sono stati spiati con spyware (dallo Stato spagnolo).
CHAT CONTROL
Monitoraggio delle chat: documenti interni mostrano un’Ue divisa
Da tempo in Europa si sta dibattendo sulla proposta di regolamento della Commissione per combattere la diffusione di materiale online relativo agli abusi sessuali di minori (CSAM, Child Sexual Abuse Material), ribattezzata sui media e da vari politici Chat Control (o Chat Control 2 in riferimento a una sua seconda versione). La proposta infatti “prevede l’obbligo per i fornitori di servizi di hosting e di comunicazione (chat, posta elettronica, messaggistica) di installare tecnologie di rilevamento automatico del materiale pedopornografico”, scriveva Valigia Blu qualche tempo fa. Uno degli aspetti più controversi della proposta è che ciò minerebbe i servizi di comunicazione basati su crittografia end-to-end (come WhatsApp o Signal) in cui solo mittente e destinatario hanno le chiavi per decifrare i contenuti.
“Molti dei metodi di scanning che i fornitori di servizio saranno obbligati a usare sotto la nuova legislazione distruggeranno l’impegno della commissaria Johansson a non minare la crittografia”, hanno scritto in una lettera aperta una serie di associazioni e ricercatori.
Ora emerge - da documenti interni del gruppo di lavoro del Consiglio sulle indagini delle forze dell’ordine rivelati da Netzpolitik - che l’Europa sarebbe molto più divisa sulla questione di quanto forse si pensasse. E la preoccupazione e lo scontro principale riguardano proprio l’estensione della proposta a servizi di crittografia end-to-end. In particolare Germania e Austria sarebbero fermamente contro. Mentre incerta risulterebbe la posizione di Paesi Bassi, Belgio, Grecia e Francia. “I negoziatori a Bruxelles distinguono tra chat control in generale e chat control per comunicazioni private e cifrate. Ciò potrebbe essere un’indicazione che una versione ridotta del progetto sia già un’opzione”. Se l’analisi di Netzpolitik è corretta, questo è il momento per provare ad avere ancora margine di manovra sulla proposta finale. Che posizione ha (e avrà) l’Italia?
SCUOLA 4.0
Arrivano soldi e device, ma chi ci mette le competenze?
In concomitanza con il ritorno sui banchi, sul sito Guerre di Rete abbiamo dedicato un articolo al meraviglioso mondo della Scuola 4.0. Firma Eleonora Zocca.
-> Scuola digitale: stanno arrivando una montagna di soldi ma il problema sarà gestirli.
Il Piano Scuola 4.0 è ambizioso e tech, ma affronta davvero il divario digitale e scientifico degli studenti italiani?
"Prendendo in mano il Piano Scuola 4.0, invece, sappiamo che nelle scuole arriveranno moltissimi nuovi dispositivi ma è meno chiaro come l’insegnamento dell’informatica e altre discipline propedeutiche alle “professioni del futuro” entreranno nelle classi.
“Purtroppo la tecnologia può essere facilmente spacciata per una cura miracolosa – spiega a Guerre di Rete Salmeri – la storia della LIM (le Lavagne Interattive Multimediali, ndr) di dieci anni fa non ha insegnato nulla? Gli studi empirici hanno concluso che non c’è stata la minima correlazione tra uso della LIM e miglioramento dei risultati dell’insegnamento”.
CYBER ITALIA
Scammer violano vari account Twitter ufficiali, tra cui quello del MiTE
Violato l’account Twitter del Ministero della Transizione Ecologica italiano per promuovere una truffa di criptovaluta. I truffatori hanno messo un’immagine di Vitalik Buterin, fondatore della blockchain Ethereum, per cercare di impersonarlo. Lui non c’entra niente ovviamente, ma a volte è bene ribadire anche l’ovvio.
Attivissimo.
ONLINE HARASSMENT E GIORNALISMO
Chi è più esposto alla mob censorship
Un paper (in inglese) analizza l’impatto della mob censorship, della censura causata da attacchi online di massa contro giornalisti, e cosa viene fatto per arginarla. Questa forma di molestia (harassment) contro reporter ha effetti concreti, spingendo le vittime a evitare certe storie/argomenti o a lasciare il settore. Le donne hanno più probabilità di incontrare diverse forme di harassment, anche sessuale, scrivono gli autori.
Il paper sottolinea anche come i giornalisti siano riluttanti ad adottare strumenti e pratiche di sicurezza digitale nel timore che limitino o rallentino il loro lavoro.
In quanto alle mobs che attaccano giornalisti, è difficile capirne l’origine e la motivazione, scrivono gli autori: in alcuni casi possono nascere da movimenti e gruppi reali, in altri casi possono essere sponsorizzati da Stati e aziende. Il punto principale che emerge dalla ricerca sembra essere però la mancanza di preparazione e/o interesse degli editori e delle redazioni, in cui i vertici tendono a essere meno esposti a questi attacchi rispetto a giornalisti più marginali. Un problema che si ricollega alla mancanza di diversità nelle redazioni e ai disequilibri fra giornalisti più o meno garantiti.
https://www.tandfonline.com/doi/full/10.1080/21670811.2022.2112520
-> Di questo tema abbiamo scritto anche in questo approfondimento per il sito Guerre di Rete, a firma di Irene Doda: Cosa stanno facendo le piattaforme contro violenze e attacchi online
LETTURE
Cos'è il fediverso, l'alternativa all'internet delle big tech
Lontano dai social network mainstream esiste un universo di spazi digitali decentralizzati e che permettono agli utenti di avere un controllo maggiore sui propri dati. Il racconto dalla viva voce di chi anima il progetto in Italia
Wired Italia
Traffico di essere umani per alimentare cyber scam
Incredibile reportage di ProPublica su come giovani lavoratori del Sudest asiatico siano attirati con finte offerte di lavoro in Cambogia e Myanmar per poi essere obbligati a lavorare per l’industria delle cyber truffe.
EVENTI
Dal 23 al 25 settembre ci vediamo a Roma, se passate al RomHack Camp e Conference. Nel caso mi trovate lì, inclusi due eventi dedicati proprio al progetto editoriale Guerre di Rete. Anche per questo difficilmente la newsletter uscirà la prossima domenica.
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione. La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Non sei ancora iscritto? Iscriviti qua, è gratuita.ù
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito di notizie, una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter li trovate sulle principali piattaforme ma attualmente sono in pausa (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).