Guerre di Rete - Usa 2020: sarà ancora hack-and-leak?

E poi: Twitter, algoritmi e pregiudizi; giornalisti e newsletter

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.82 - 27 settembre 2020

Oggi si parla di:
- elezioni Usa e rischi cyber
- algoritmo e pregiudizio
- Twitter Hack, cosa è successo dentro l’azienda
- giornalisti e newsletter
- e altro

Per chi è interessato segnalo che:
- oggi alle 11.30 al Trieste Next sarò collegata virtualmente per parlare, insieme a Sergio Maistrello, dei temi del mio libro #Cybercrime (sarà anche online l’evento, qui per registrarsi)
- lunedì 28 alle 17.30 alla Panopticon Cyberweek interverrò sul tema “Da Twitter a Wannacry: il cybercrime che non ti aspetti” (ci si registra qui)
- giovedì alle 9.30 al Digital Ethics Forum parlerò di “Cybersicurezza: dimensione etica, politica e relazioni internazionali” (evento gratuito ma bisogna registrarsi qui)

USA 2020
La transizione sarà la vera prova per attacchi e rischi cyber

Un fantasma si aggira per gli Stati Uniti e non è certo quello del comunismo. È il fantasma dell’Interregnum, l’intervallo fra la data delle elezioni presidenziali, il prossimo 3 novembre, e il giorno in cui il nuovo presidente dovrò giurare e insediarsi, il prossimo gennaio. Un intervallo che rischia di diventare - secondo una ficcante analisi di Barton Gellman su The Atlantic - una terra di nessuno in cui i consueti passaggi per un eventuale trasferimento dei poteri, fino ad oggi dati per scontati, potrebbero frantumarsi come cristallo.
Trump, scrive Gellman, “non vuole che i neri votino. Non vuole che i giovani o i poveri votino. Ritiene, con ragione, di avere meno possibilità di rivincere le elezioni se l’affluenza sarà alta (...). Il presidente ha messo in piedi un assalto implacabile al voto via posta proprio quando la pandemia di coronavirus sta spingendo decine di milioni di elettori a scegliere questa modalità. Quest’anno le elezioni presidenziali vedranno il voto via posta su una scala mai vista prima - alcuni Stati anticipano un aumento di dieci volte”.
Proprio per questo, sostiene Gellman, Trump ha iniziato a indebolire il sistema postale, oltre che a diffondere voci sulla inaffidabilità del voto via posta. In pratica, è la tesi, si sta preparando a contestare l’esito delle elezioni. Tesi che sembra essere rafforzata dalla stessa dichiarazione di Trump di questi giorni, in cui non assicura una transizione pacifica, o quanto meno non si sbilancia sul tema (CNN). I repubblicani su questa possibilità invece rassicurano, ogni transizione sarà pacifica, ma non è chiaro se abbiano un piano nel caso lo stesso Trump si opponga (The Politico).
(Dell’indebolimento del sistema postale, attraverso un suo nuovo capo, molto vicino a Trump, se ne parla anche in questo bel podcast di Aljazeera dove viene intervistato uno storico americano che spiega il ruolo tradizionale del servizio postale negli Stati Uniti e cosa sta succedendo oggi - Unpacking the US Post Office controversy - PODCAST)
Apro con l’analisi di Gellman, perché è questo è lo scenario in cui si devono situare le notizie e le riflessioni su elezioni Usa e rischi digitali, che si tratti di disinformazione o hacking. Se infatti esiste il rischio dello scenario descritto da Gellman (sperando ovviamente che si sbagli), eventi cyber di varia natura andranno a fare leva per spingerlo e rafforzarlo.

Facebook tira giù tre reti russe
Partiamo dunque con la disinformazione e la propaganda nascosta. Giovedì Facebook ha rimosso tre diverse reti di account e di pagine finte provenienti dalla Russia che pompavano informazioni su questioni geopolitiche, in particolare sulla Turchia e la Bielorussia. Secondo il social, queste attività fraudolente erano connesse all’intelligence militare russa o alla Internet Research Agency, la società di San Pietroburgo che nel 2016 era stata ribattezzata la fabbrica di troll. Come in precedenti operazioni in cui network di questo tipo sono smantellati dalla piattaforma, molti account fingevano di essere giornalisti o autori per diffondere più agevolmente notizie di vario tipo. Facebook dice anche che questi network specifici non sembravano prendere di mira le elezioni americane, anche se sarebbero comunque legati ad attori che avevano interferito negli Usa in passato, specie per quanto riguarda i leak del Partito Democratico Usa nelle campagna presidenziale del 2016 (DNC leaks) (Cyberscoop).

Il rischio di hack-and-leak
Tuttavia c’è un possibile campanello di allarme nel post Facebook, che a un certo punto parla proprio delle operazioni di hack-and-leak, cioè di quegli attacchi informatici (hack) che puntano a prelevare informazioni riservate e a diffonderle in modo strategico con fini politici (leak). E dice che il rischio di hack-and-leak è uno di quelli su cui “siamo particolarmente concentrati e preoccupati rispetto alle elezioni di novembre negli Usa. (...) Anticipiamo che operazioni come queste [i tre network appena smantellati, ndr] possano tentare di svoltare in qualsiasi momento”, nel senso di prepararsi a diventare di nuovo quel genere di operazioni hack-and-leak viste in passato. (Facebook).

Gli Usa simulano attacchi e si esercitano
Intanto negli Usa si stanno facendo delle simulazioni di attacchi (che vanno da quelli informatici a quelli con l’antrace) per vedere come amministratori e funzionari locali impegnati nella gestione del voto sapranno reagire a falsità e manipolazioni, riferisce Reuters. Le simulazioni includono blackout indotti da attacchi informatici, la circolazione di falsità su schede fasulle e frodi, finte minacce di bombe ai seggi e via dicendo. La Cybersecurity and Infrastructure Security Agency (CISA, l’agenzia per la sicurezza dei dati e delle infrastrutture) ha organizzato 55 esercitazioni. Nel frattempo, c’è stata una intrusione informatica (vera) nelle reti di una agenzia federale Usa, e l’attaccante se n’è andato con dei dati, fa sapere la stessa CISA (Bloomberg).

Facebook pronta al giro di vite
Se le elezioni Usa dovessero precipitare nel caos, Facebook comunque si dice pronta a limitare drasticamente la circolazione di contenuti. A dirlo al Financial Times è il vice presidente degli affari globali di Facebook, nonché ex vice premier britannico, Nick Clegg.
“Parole che fanno rumore anche perché a pronunciarle è un ex vice premier britannico, Clegg, appunto, che ipotizza scenari da guerra civile per gli Stati Uniti a cavallo del voto. Il timore è duplice: che la piattaforma veicoli notizie false sul voto distribuite da attori nazionali — Trump compreso, nello scenario definito «miraggio rosso» in cui il voto postale già bollato come fraudolento dal presidente Usa ribalti il risultato — o internazionali e che fomenti episodi di violenza. L’ipotesi che accada non viene considerata remota: il Ft scrive che il colosso californiano si è organizzato per circa 70 diversi scenari potenziali”, scrive Martina Pennisi sul Corriere.

Aspettando la “Corte Suprema”
Intanto, entro le elezioni Usa, dovrebbe arrivare il famoso Oversight Board di Facebook, anche noto come la Corte Suprema del social. per pronunciarsi sugli appelli presentati da utenti Facebook e Instagram, in merito alle decisioni sulla moderazione dei contenuti, ad esempio su post cancellati o etichettati come disinformativi. Dovrebbe avere l’ultima parola in materia. CNBC

Account finti e facce ancor più finte
In questi giorni Facebook ha anche smantellato dei network di account falsi che originavano in Cina e nelle Filippine, con contenuti soprattutto su Filippine e Taiwan (Ben Nimmo) e che utilizzavano una tecnica di intelligenza artificiale (AI) nota come GANs (Generative Adversarial Networks) per generare le facce di alcuni di questi account falsi. (TechCrunch)

ALGORITMO E PREGIUDIZIO?
Quell’anteprima delle foto di Twitter

Twitter ha fatto sapere di stare indagando le ragioni dietro a un problema segnalato giorni fa da vari utenti: le reti neurali che selezionano la parte di immagine da far vedere in una anteprima di un tweet sembrerebbero favorire volti di persone bianche rispetto a persone di colore (The Verge). Dico sembrerebbero perché, mentre scrivo, non è ancora chiara la questione e potrebbe anche non essere, come suggerito sempre da alcuni utenti su Twitter, un caso di “pregiudizio dell’algoritmo” (allenato su foto di bianchi ecc). Dalla segnalazione si è scatenata per altro una corsa a testare la preview delle foto in cui sono state sottoposte anche immagini di cani (bianco e nero) e di personaggi dei cartoni. Buona per ora la risposta di Twitter: avevamo testato per pregiudizi di razza o genere, ma con queste segnalazioni dobbiamo analizzare meglio, e renderemo il nostro lavoro open source.

Molestie e doxing a suon di tweet
Ma i problemi di Twitter di questa settimana non si fermano qua: per quasi due mesi, in India i tweet di nazionalisti indù hanno doxato, cioè rivelato online i dettagli personali di molte coppie composte da persone di fede diversa - coppie musulmane-indù. E a quanto pare tweet e account sono circolati indisturbati. Ora la storia è emersa e chiama in causa una possibile scarsa proattività di Twitter al riguardo (di un argomento simile, della difficoltà o poco interesse delle piattaforme ad agire in periferia, fuori da Europa e Usa, avevo scritto nella scorsa newsletter se ricordate).
Buzzfeed

Twitter Hack, visto da dentro
Ricordate il Twitter Hack di quest’estate? No? Ne avevo scritto una edizione speciale della newsletter a luglio. Micro-riassunto: improvvisamente a metà luglio un nutrito gruppo di profili Twitter molto VIP - da Obama a Biden a Elon Musk - si mettono a twittare uno scam, cioè dei tweet truffa che invitano le persone a inviare dei bitcoin a un indirizzo (e a riceverne in cambio il doppio; ovviamente non è vero, non avrebbero avuto indietro nulla). Dopo il primo sconcerto, si scopre che qualcuno dall’interno del sistema di gestione degli account di Twitter si stava impossessando di una serie di profili, in totale 130 si scoprirà alla fine. Con fatica, il social riprende il controllo della situazione. E successivamente vengono incriminati tre-quattro ragazzi, in cui la mente criminale sembra essere un diciassettenne della Florida. Sui ragazzi e il loro milieu di piccoli truffatori e prodigiosi autodidatti del social enginering sono usciti molti dettagli. Mancavano ancora invece un po’ di tasselli sull’attacco e su quanto successo internamente a Twitter. Bene, ora c’è qualche pezzo in più (anche se non tutto).

L’operazione, scrive Wired in questi giorni, è stata condotta attraverso un attacco di phishing contro alcuni dipendenti, andato a buon fine. Un phishing via telefono però (in gergo, vishing, da voice phishing), in cui gli attaccanti hanno chiamato chi si occupava del supporto tech o del servizio clienti, chiedendo loro di fare un reset della password. Questo attacco era anche stato segnalato da alcuni dipendenti al team della sicurezza, ma qualcuno invece ha abboccato, è andato sul sito indicato dagli attaccanti, ha immesso le sue credenziali, inclusi i codici per l’autenticazione a più fattori. Il problema è che quando i profili di VIP hanno iniziato a cadere come birilli in mano ai misteriosi attaccanti, uno dopo l’altro, Twitter non è riuscita a identificare quali fossero i propri account interni compromessi. Idealmente, dei sistemi automatici avrebbero dovuto identificare quali account dei dipendenti stavano cambiando tutti quegli indirizzi email in poco tempo, scrive Wired. “Ma un ex dipendente della sicurezza dell’azienda dice che Twitter era stata lenta a investire in quel tipo di tecnologie di allerta”. Dunque non sapendo da dove (da chi) stesse arrivando l’attacco, Twitter ha dovuto prendere una serie di misure drastiche: bloccare i tweet per tutti gli account verificati (questo ha comportato che certi media non potessero twittare su questa o altre notizie) e per chi aveva cambiato la password da poco; buttare tutti i dipendenti fuori dalla VPN aziendale; e farli poi rientrare tutti vagliandoli di persona.
“A partire dal Ceo Jack Dorsey e poi a scendere nell’organizzazione aziendale, ogni singola persona doveva andare in una conferenza video col suo supervisore e cambiare manualmente le password di fronte allo stesso”. Rileggete questa frase perché davvero è notevole quanto descritto.
Come dicevamo prima, mancano ancora altri dettagli sull’attacco, ma l’articolo si concentra soprattutto sulle reazioni di Twitter all’incidente. Ora ad esempio l’azienda ha adottato le chiavette hardware per l’autenticazione oltre che una serie di training e di formazione interna per i dipendenti - da cybersecurity awareness manager non posso che approvare entusiasticamente, anche se, come ha commentato qualcuno nello stesso articolo, il problema non è tanto che un dipendente sia stato vittima di phishing (capita, anche se l’obiettivo è che capiti meno possibile e con meno danno possibile) bensì tutto quello che è successo dopo il phishing.
Da leggere comunque: Wired.

ESAMI A DISTANZA
La rivolta contro il software che controlla se non bari

Negli Usa alcuni studenti e campus si stanno rivoltando contro i software di digital proctoring, quei programmi usati per supervisionare test fatti via computer dagli studenti, in pratica per controllare che chi sta a casa non copi o inganni. Il loro utilizzo è aumentato anche in seguito alla pandemia, ma c’è chi li ritiene invasivi e problematici.
Vice

SPYWARE
FinSpy ancora in Egitto

Amnesty ha pubblicato un nuovo report sullo spyware FinSpy, prodotto dall’azienda tedesca FinFisher, e sul suo utilizzo in Egitto (oltre che su sue varianti per Mac e Linux)
Amnesty

Omar Radi ancora in prigione
Perché il Marocco continua a tenere in prigione il giornalista Omar Radi (che aveva anche denunciato di aver ricevuto degli spyware)? HRW ricostruisce la sua storia.
Avevo scritto del suo caso in questa edizione della newsletter.

CYBERCRIME
Ransomware in missione italiana

In settimana sono stati riportati due seri incidenti informatici a Luxottica e Gruppo Carraro. In entrambi i casi i dipendenti sono stati mandati a casa. Il sospetto per entrambi è che si tratti di ransomware. Su Luxottica vedi Cybersecurity360; il Gazzettino; BleepingComputer. Su Carraro vedi Nordesteconomia e Key4biz.

Retata di venditori del Dark Web
Un’operazione di polizia internazionale ha portato a una retata di 179 persone in 9 Paesi accusate di vendere o comprare droga o altre merci illecite nei mercati del cosiddetto Dark Web. Chiamata Operation DisrupTor, ha colpito soprattutto gli Usa (per numero di arresti), Germania e poi Olanda, UK, Austria e Svezia, riferisce Zdnet
Qui il comunicato di Europol dove si spiega che è un’operazione derivata dallo smantellamento del mercato Wall Street Market nel 2019 con i dati e le informazioni che ne erano conseguiti.
Vedi anche Repubblica.

APPROFONDIMENTI

GIORNALISMI
L’ascesa delle newsletter di singoli giornalisti
Il giornalista tech Casey Newton lascia la pubblicazione per cui lavorava da anni, The Verge, per lanciare una sua newsletter su Substack. Il New York Times fa il punto su un trend che è andato accelerando in questi mesi e che nasce da diversi fattori: crisi del giornalismo e dei suoi modelli (solo negli Usa dal 2014 al 2019 sono stati tagliati la metà dei posti di lavoro nei giornali), insofferenza di singoli autori verso vecchi processi editoriali e modalità di lavoro, ricerca di un rapporto più intimo e diretto col pubblico rispetto al darsi in pasto alla Rete, desiderio dei lettori di contenuti specifici, di qualità, di un rapporto di fiducia diretto verso una persona più che verso una testata, così come di una fruizione semplice e pulita, senza passare per il rumore e le distrazioni di un sito di notizie tradizionale (queste e quelle a seguire sono in parte mie riflessioni, lo dico per distinguerle da chi pensa che stia citando il NYT, anche se la sua analisi è in sostanza simile).

Ad ogni modo il trend esiste, alcuni stanno chiedendo e ottenendo abbonamenti via Substack o altre piattaforme, ci sono alcuni casi di successo, ma non mi lancerei neanche in eccessive speranze. Se non altro perché quando ci saranno tanti giornalisti di qualità che scriveranno newsletter su diversi argomenti un lettore cosa farà, si abbonerà a tutte? Ovviamente non è sostenibile. Il sistema rischia di scontrarsi con alcuni dei problemi dei media attuali, ad esempio il fatto che molti lettori vorrebbero avere un sistema economico e semplice per accedere ad articoli di testate diverse. Però se ci saranno piattaforme come Substack (o simili) che accentrano la gestione delle newsletter non è impensabile che un giorno queste offrano abbonamenti trasversali a più autori/newsletter. Insomma, poche illusioni ma il fenomeno è interessante.
Del resto come potrei dire diversamente, visto che ho lasciato il giornalismo professionale più di due anni fa lanciando in contemporanea una newsletter tech infine approdata su Substack (prima stavo su Tinyletter)?
Ancora su Onezero una interessante intervista a Casey Newton sul perché e il come di questa sua scelta. Aggiungo anche questa vecchia intervista a Newton sul giornalismo tech che è interessante, specie per chi si occupa di questi temi.

Axios ricapitola invece la questione dell’ascesa delle newsletter individuali (spinte ancora di più dalla situazione creatasi con la pandemia) con numeri, nomi e problemi.
Numeri: oggi una piattaforma come Substack ha 250mila abbonati paganti, e la top ten delle sue pubblicazioni raccoglie annualmente 7 milioni di dollari.
Nomi: chi è passato alle newsletter recentemente: Alex Kantrowitz (ex Buzzfeed), Casey Newton (ex The Verge), Josh Constine (ex TechCrunch), Andrew Sullivan (ex New York Magazine), Emily Atkin (ex The New Republic), Anne Helen Petersen (ex Buzzfeed) e Matt Taibbi, (ex Rolling Stone).
Problemi: non tutti i temi e i tipi di giornalismi si adattano al format newsletter; non tutti i giornalisti possono lasciare uno stipendio per dedicarsi completamente a una newsletter dato che è una scommessa economica. E, aggiungo io: scrivere in italiano non dà le stesse opportunità di scrivere (su temi di interesse globale) in inglese.

QANON
Come è essere molestati dai seguaci di QAnon - Melissa Ryan

NON SOLO CYBER
Enemy of The State - Murder on Malta - documentario in inglese sull’assassinio a Malta della giornalista investigativa Daphne Caruana Galizia. Da vedere.

SALUTI E CONTATTI
Se qualcuno vuole contattarmi in modo anonimo (o, quanto meno, con una maggiore probabilità di privacy e senza dover passare per una casella email o un account legato a un telefono) può farlo andando su https://contact.carolafrediani.org/#/ via Tor Browser (se da dentro la newsletter non si apre link basta riscriverlo nel browser).
È una piattaforma open source creata da Globaleaks (che ringrazio! in particolare un grande grazie a Giovanni Pellerano) che permette a giornalisti, media e organizzazioni (qua ce ne sono alcune) di ricevere segnalazioni e a chi segnala di proteggere la propria privacy (qui un articolo in inglese su chi sono, che fanno).
Oppure potete scrivermi una mail con PGP. O contattarmi solo su Signal +14783944294. O, se non avete particolari esigenze di privacy, molto semplicemente, rispondere a questa newsletter.

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!