Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.90 - 6 dicembre 2020

Qualche nota generale prima.
Intanto vedo che la precedente newsletter interamente dedicata al threat modeling vi è piaciuta, almeno ad alcuni. Sono contenta perché era un po’ un azzardo, magari in futuro ci torneremo. Ne approfitto per ringraziare chi mi ha aiutato a comprendere meglio il threat modeling, in particolare professionisti davvero esperti del tema come Gerardo Di Giacomo e Stefano Zanero (ma ovviamente le mancanze o le imprecisioni restano le mie).

Poi vorrei dire che da questa domenica la newsletter va in pausa natalizia (a meno che non scoppi qualche casino cyber tale da farmi riemergere col panettone in mano come accaduto la scorsa estate in pausa estiva, e no, non vi sto incoraggiando a farlo scoppiare, state a casa e lontani dal pc, grazie)

Se voleste fare regali a tema Guerre di Rete a qualcuno per Natale, vi rammento:
- qua la lista di libri recenti che avevo fatto
- e (perdonate momento pubblicità, pensato più che altro per nuovi iscritti) i miei due ultimi libri, il saggio #Cybercrime (in settimana ho fatto anche una presentazione) e il romanzo cyber thriller Fuori Controllo (qui una recensione).

Per il resto, Buone Feste! Ci risentiamo al più tardi col nuovo anno

COVID E CYBER
Catena del freddo dei vaccini, il nuovo target di cybercriminali e cyberspie
IBM ha individuato una campagna di phishing globale - cioè di invio di mail che impersonificano entità o individui per indurre in errore il destinatario e poi muovere attacchi informatici - che prende di mira organizzazioni associate allo sviluppo della catena del freddo nei vaccini per il COVID-19. Si tratta di una componente essenziale della supply chain, della catena di approvvigionamento del vaccino, perché deve assicurare la sua corretta e sicura conservazione in ambienti a temperatura controllata. 
Ora, secondo IBM, dal settembre 2020 organizzazioni e aziende associate a un programma internazionale per gestire la catena del freddo sono state prese di mira con tentativi di phishing, in cui si invia una mail che finge di arrivare da qualcun altro. Nello specifico gli attaccanti hanno simulato di essere un dirigente della Haier Biomedical, un’azienda cinese reale e leader nella fornitura di apparecchiature per la catena del freddo (tra le principali, oltre a Haier Biomedical, ricordo che ci sono Arctiko, Evermed, Eppendorf, Philipp Kirsch,  American Biotech Supply, le cito anche perché mi chiedo se non ci siano o ci saranno altri tentativi di impersonificazione diretti contro aziende del settore). 
I cybercriminali hanno dunque inviato delle mail (usando un dominio simile a quello della società) a una serie di organizzazioni e di fornitori di materiali di supporto collegati al trasporto e alla distribuzione del vaccino. L’obiettivo era fare incetta di credenziali con cui entrare nei sistemi delle vittime. Tra i target anche DG-TAXUD, la direzione generale della Commissione responsabile della politica dell’UE in materia di fiscalità e dogane, oltre a organizzazioni nel settore energetico, manifatturiero, e di servizi informatici dislocate in Italia, Germania, Repubblica Ceca, altri Paesi nell’orbita europea, e poi ancora Corea del Sud e Taiwan. Le mail sono state inviate a dipendenti nel settore vendite o procurement, finance o IT. Ma uno dei tratti comuni dei target, sostiene IBM, è di essere collegati al programma CCEOP (Cold Chain Equipment Optimization Platform) lanciato da vari organismi internazionali, che lavora alla distribuzione del vaccino a livello globale. Molte delle potenziali vittime avrebbero potuto costituire a sua volta un possibile punto di accesso per altre organizzazioni che lavorano nell’ambito dei vaccini (SecurityIntelligence).

Si tratta dunque di una campagna che sembra voler scavarsi una strada proprio a partire dalla supply chain. IBM non si sbilancia sulla attribuzione o la motivazione, anche se propende per un attore “statale”. Tuttavia il tipo di attacchi descritti certo potrebbero avere una componente di spionaggio ma anche più prosaicamente fini criminali, aprendo la strada a cyberestorsioni, ransomware e altro. In un settore non solo estremamente sensibile in questo momento, ma che ha anche una dannata fretta. In pratica, la preda perfetta.

Come scrive Agenda Digitale: “Praticamente ogni fase del lavoro delle aziende farmaceutiche per produrre un vaccino è stata presa di mira dagli hacker. (...). In maniera rapida tutti i vaccini attualmente in fase 3 (10 al momento della stesura di questo pezzo) inizieranno il processo di revisione da parte delle autorità, l’ultimo step prima della diffusione al pubblico. Da questo momento in poi il focus dei vari attaccanti si sposterà prima verso la filiera di produzione e poi sulla linea di distribuzione dei vaccini. (...) Man mano che i vaccini passeranno alla fase di revisione, la pressione sugli istituti di ricerca scenderà perché quegli stessi dati saranno più facilmente ottenibili con mezzi tradizionali. La dinamica si sposta quindi sul controllo della distribuzione, la fase forse più delicata, e tutto sarà deciso dalla tipologia di interessi in gioco. Se si dovesse passare da un interesse verso le metodologie di ricerca ad un interesse strategico per il controllo della catena, lo scenario cambierebbe nettamente, passando dall’intelligence al sabotaggio”.

Anche in Italia: gli attacchi alla Irbm per il vaccino AstraZeneca
Ma attacchi di cyberspionaggio in particolare contro chi lavora sul vaccino per il Covid-19 sono in primo piano anche in una intervista di venerdì su Repubblica. Qui Piero Di Lorenzo, presidente della Irbm di Pomezia (che produce il vaccino AstraZeneca), dice che da quando è stato “reso pubblico il prezzo di vendita del vaccino (2,80 euro a dose, ndr) (...) abbiamo cominciato a subire attacchi hacker professionali violentissimi”. Sette attacchi, dice sempre Di Lorenzo, “lanciati dall’estero”, il cui obiettivo sarebbe stato di “entrare nel server dell’Irbm, rubare i dati sensibili dell’operazione vaccino. (...) Pensi che ora non possiamo più utilizzare mail e telefoni per tutte le comunicazioni di dati sensibili e le garantisco che è un bel granello di sabbia nell’ingranaggio”.

Forse è il caso che chiunque lavori al vaccino in senso lato, inclusa la logistica, inizi di corsa, se ancora non l’avesse fatto, ad alzare le difese (oltre a evitare comunicazioni delicate in chiaro). C’è qualcuno che se ne sta occupando a livello governativo immagino. Spero.

En passant, in settimana sul quotidiano Domani è uscito un mio approfondimento sugli attacchi ransomware contro grandi aziende italiane. Lo trovate qua (paywall). Ospedali e Made in Italy a rischio cyber estorsioni

PANDEMIA E DIGITALE
Il lockdown delle scuole sta creando nuovi divari culturali
Che impatto sta avendo la didattica a distanza sugli studenti delle scuole? Dagli Stati Uniti stanno arrivando alcune parziali risposte e no, non fanno ben sperare. Le insufficienze sono aumentate nettamente nel più grande sistema scolastico della Virginia, riferisce il Washington Post, mentre un divario nell’apprendimento online emerge a livello nazionale. Ma già qualche settimana fa arrivavano dati poco rassicuranti da uno dei luoghi più tecnologici degli Stati Uniti, la Bay Area, in California. Anche qua netto incremento delle insufficienze (intorno al 50 per cento) durante questo autunno di didattica a distanza nelle superiori per alcuni distretti. Le scuole californiane sono state costrette a una improvvisa chiusura da metà marzo scorso, ma le speranze di riaprire questo autunno sono presto svanite. E con il nuovo ciclo scolastico sono arrivate anche le valutazioni, che erano state sospese nell’emergenza di marzo - Mercury News
L’allarme era già stato lanciato a giugno dal Wall Street Journal, secondo il quale l’esperimento forzato della didattica a distanza per la crisi del coronavirus era stato un fallimento. Mancanza di strumenti e connessioni adeguate per gli studenti, mancanza di preparazione per gli insegnanti, difficoltà a stare in contatto con i ragazzi tra i problemi evidenziati. 

E se è un problema per la Bay Area, figuriamoci in altri posti del mondo. Provate a fare la didattica a distanza con un telefono da un villaggio indiano, con uno smartphone economico e un collegamento 2G, scrive il WSJ in un bell’articolo di questi giorni. Con genitori che vanno a cercare come rabdomanti un collegamento WiFi, e insegnanti che registrano lezioni via Whatsapp per poterle far fruire in differita. E con il 38 per cento delle famiglie che non ha uno smartphone in casa. E poi ancora, in alcuni villaggi, le lezioni fatte in piazza con registrazioni diffuse da altoparlanti. O dipinte sui muri. 

E in Italia?
Insomma la prima ad essere valutata è proprio la didattica a distanza, o meglio, il modo e il contesto in cui viene fatta. In Italia qualcuno sta monitorando questo aspetto in qualche modo? Se sì, fatemelo sapere. (Ricordo che avevo trattato del tema nel pieno dell’emergenza qua e su Valigia Blu).
Tra l’altro, mentre scrivevo questo pezzo di newsletter, Tito Boeri e Roberto Perotti su Repubblica si sono fatti proprio questa domanda: “quali sono gli effetti sui livelli di apprendimento nel Paese in cui più a lungo le aule sono rimaste vuote? Il governo ha tutti i dati e dovrebbe pubblicarli”, scrivono gli autori. “La scuola italiana si è trovata impreparata di fronte alla seconda ondata del coronavirus”, aggiungono, ricordando come alcuni studi in altri Paesi europei (Germania, Olanda, Belgio) mostrino un peggioramento del livello di apprendimento più marcato fra fasce socio-culturali più basse. Interessante anche l’appello degli autori a rilevare come è stato impiegato il tempo al di sotto dei 18 anni in questi mesi di attività/scuola ridotte, per verificare se gli studenti (e quali tipologie degli stessi) abbiano ridotto il tempo dello studio e aumentato (e quanto) il tempo passato davanti a tv, videogiochi e social.

I gruppi di autoaiuto vanno online
Ma in altri ambiti la possibilità di collegarsi a distanza ha dato invece alcuni risultati incoraggianti. Sembra essere il caso dei gruppi di autoaiuto, come gli Alcolisti Anonimi o altre realtà che lavorano sull’abuso di sostanze. Costretti dalla pandemia a ritrovarsi online, molti sembrano aver apprezzato gli incontri virtuali, proprio perché paradossalmente (ma non troppo) hanno ampliato in questo caso specifico le possibilità di incontrarsi, superando ostacoli economici, di tempo, di trasporto, di incastro nei propri impegni, scrive il New York Times. Probabilmente gli incontri online permettono anche di abbassare la soglia per rompere il ghiaccio e decidere di partecipare, muovendo il primo passo (più facile farlo via computer che entrare con le proprie gambe per la prima volta in un locale). Naturalmente non è del tutto sostituibile a incontri di persona, notano alcuni. Ma la lezione è interessante. Quando il virtuale allarga le possibilità e non le restringe. (Se in Italia ci sono casi o esperienze simili, fatemi sapere).

Crescono le “app di terapia psicologica”
La pandemia di COVID-19 ha esacerbato anche la crisi di salute mentale negli Stati Uniti, scrive Business Insider, e ha portato a un boom di app come Calm e Headspace che promettono di aiutare le persone a gestire lo stress o l’ansia. Ora però starebbe emergendo una nuova serie di app che dicono di voler trattare direttamente disturbi o malattie mentali con tecniche di terapia cognitivo comportamentale, e sostengono di ottenere risultati simili a quelli dei farmaci o delle terapie fatte di persona. Secondo Business Insider, vari esperti consultati alla Food and Drug Administration americana, al National Institute of Mental Health, e all’American Psychiatric Association avrebbero affermato che le app sembrano funzionare e che ci sia la volontà di aprire a livello regolamentare. Naturalmente, non sfuggirà che una delle questioni sollevate, oltre alla loro reale efficacia, è la protezione della privacy e della sicurezza dei dati, considerata la natura degli stessi. Vi ricordate la storia della clinica di psicoterapia in Finlandia hackerata e i cui pazienti sono stati ricattati? Avete presente il mercato dei data broker che parte proprio come una sorgente dalle nostre app? Ecco.

Ma stiamo usando al meglio gli strumenti digitali?
Sicuramente c’è molta voglia di sperimentare strumenti e canali digitali per svolgere attività a distanza, e connettere le persone in modi che non ricalchino propriamente né le consuete modalità offline né quelle online. E come con tutte le sperimentazioni, a volte ci si azzecca a volte no. Insomma, si va per tentativi. Ad esempio, la piattaforma Substack (quella su cui state leggendo questa newsletter e che ultimamente è diventata il refugium peccatorum dei giornalisti stanchi dei media tradizionali, incluse firme di primo piano, come avevo già scritto qua) si è inventata la scorsa settimana un incontro online per i suoi autori al fine di scrivere assieme per un’ora in silenzio (ognuno a casa propria, e ognuno scrivere quello che voleva). Un’ora in cui una facilitatrice introduce la sessione, fa i saluti generali, mette una playlist soft in sottofondo, mentre poi circa 150 autori, molti col video acceso, altri con videocamera spenta, in ogni caso in muto, si mettono a lavorare insieme a questa compagnia silente di scribani digitali, sparsi tra India e Stati Uniti. C’è comunque una chat di gruppo per chi vuole presentarsi o discutere di qualcosa e alla fine per chi desidera si viene catapultati pure in una chiacchierata video in piccoli gruppi casuali, con effetto un po’ alla Chat Roulette, devo dire. Impressione dell’evento? Sentimenti contrastanti. Ma il punto è provare e vedere se qualcuno riesce a uscire dai soliti schemi del tutti su Zoom. O tutti su Facebook. O tutti nella propria stanzetta isolata.

CRYPTO E SPIONAGGIO
Ancora un’altra società svizzera di macchine cifranti controllata da Cia e Bnd
Vi ricordate la storia hollywoodiana della società svizzera, Crypto AG, che produceva macchine cifranti vendute per decenni a governi e ambasciate e che in realtà era controllata dalla Cia e da Bnd (i servizi tedeschi)? Che in tal modo avevano reso queste macchine “bacate” in modo da poter decrittare più facilmente le comunicazione di nemici e alleati? Ne avevo scritto un lungo approfondimento su Valigia Blu. Bene, siamo alla seconda puntata, con un’altra azienda svizzera del settore che di nuovo è accusata di aver fatto qualcosa di simile. Una inchiesta della testata SRF sostiene che, oltre a Crypto AG, anche una seconda società elvetica, più piccola, di nome Omnisec, sarebbe stata controllata dalle due intelligence. Omnisec - nata dal produttore di macchine crittografiche Gretag nel 1987 - vendeva apparecchi per la cifratura dati, fax e voce a governi, fino a uno stop delle operazioni avvenuto due anni fa. E, sempre secondo SRF, esattamente come Crypto questi apparecchi sarebbero stati opportunamente “bacati”. Il dettaglio forse più bizzarro è che la società avrebbe venduto queste macchine fallate anche alle agenzie e all’intelligence elvetica, oltre che a importanti banche, come UBS. Ora alcuni politici svizzeri chiedono a gran voce spiegazioni, anche se un’indagine nata dalle prime rivelazioni su Crypto aveva concluso che anche la Svizzera aveva beneficiato delle informazioni raccolte dalle controparti straniere. Courthousenews

GIORNALISMO
La violenza online contro i giornalisti, specie le donne, è il nuovo fronte della sicurezza
Il problema della violenza online contro giornaliste sta sempre più tracimando offline, con conseguenze potenzialmente letali. A scrivere queste parole pesantissime è una indagine globale sulle donne nel giornalismo e nei media da parte dell’International Center for Journalists (ICFJ) e l’UNESCO. Il 20 per cento delle giornaliste che hanno partecipato al questionario hanno riferito di essere state prese di mira con abusi e attacchi offline che ritengono collegati a violenza online subita precedentemente. E il 73 per cento delle intervistate ha detto di aver ricevuto abusi, molestie, minacce e attacchi online nel corso del loro lavoro.
“La violenza online è il nuovo fronte della sicurezza del giornalismo - ed è particolarmente pericolosa per le donne”, scrive il rapporto. In pratica, spiega ancora, le giornaliste oltre ad entrare in contatto con un più alto livello di molestie nella loro vita quotidiana, esattamente come tutte le donne, sono anche più a rischio nel lavoro, specialmente su piattaforme digitali. E il rischio è soprattutto nell’intersezione fra discorsi d’odio (hate speech) e disinformazione. Un rischio che si estende anche alle loro famiglie, fonti e pubblici. Le minacce alle giornaliste si accompagnano spesso a minacce contro altri a loro connessi. Violenza online e tradizionale misoginia creano dunque una combo pericolosa, che soffoca  sia la lotta per la parità di genere sia la libertà di espressione. Già nel 2017 il Committee to Protect Journalists aveva riferito che in almeno il 40 per cento dei casi i giornalisti erano assassinati dopo aver ricevuto minacce, anche online. Tra questi casi sono ricordate Daphne Caruana Galizia e Gauri Lankesh. Proprio di tale connessione offline e online, di Caruana Galizia e di altri episodi avevo scritto in una inchiesta per Valigia Blu su come i giornalisti e gli attivisti nel mondo erano attaccati digitalmente (e non a caso fra le testimonianze c’erano varie donne).

In Italia il fenomeno è stato mappato di recente da GIULIA-giornaliste e Vox- Osservatorio sui diritti. “Sono stati analizzati diversi profili di giornalisti e giornaliste, scelti tra i più attivi sui social, oppure particolarmente esposti, come le giornaliste impegnate in settori come la politica, la criminalità organizzata o l’immigrazione - scrive Professione reporter -. “La differenza  sostanziale è che i maschi vengono di solito attaccati per quello che dicono, mentre alle donne succede di essere attaccate in una misura eccessiva per quello che sono, per lo specifico di genere. Gli strumenti di aggressione messi in atto sono i consueti: bodyshaming, minacce di stupro e oscenità. Oppure, si sminuiscono le competenze professionali”

Ancora su donne e Rete: la diffusione illecita e non consensuale di materiale intimo come violenza
Per altro nei giorni scorsi è uscito anche l’ultimo report dell’associazione PermessoNegato, che sostiene le vittime colpite dalla diffusione illecita e non consensuale di materiale intimo, violenza online e attacchi d’odio. L’associazione ha gestito ben 500 casi in un solo anno. Mentre il suo osservatorio permanente ha rilevato che a novembre c’erano 89 gruppi/canali attivi nella condivisione di tali materiali, destinati a un pubblico italiano. Un fenomeno in crescita rispetto agli anni precedenti.
”I gruppi sottoposti ad esame hanno rilevato un  numero di utenti registrati non unici pari a 6.013.688 account ed il gruppo più numeroso preso in esame annoverava un numero di 997.236 utenti unici”. Il rapporto fa anche un elenco di piattaforme più o meno collaborative nel contrastare il fenomeno e nell’agire in tempi rapidi: fra quelle “elogiate”, diciamo così, ci sono Facebook, Microsoft e Google, “con un tempo di risposta tra le 24 e le 72 ore, spesso inferiore alle 24 ore”. Maglia nera invece per Telegram e per Twitter.

Per inquadrare il fenomeno vi invito caldamente a leggere questo articolo appena pubblicato su Valigia Blu (perdonate la lunga citazione ma finalmente qualcuno ha inquadrato il tema in modo cristallino, e comunque andate sull’articolo che è molto più ampio e ricco): “Quello che è fondamentale, secondo Semenzin, è mettere in chiaro «che la matrice di questi comportamenti non c’entra nulla con il sesso, ma con il potere e la volontà di controllo, di punizione della sessualità femminile».
Considerato questo, usare la definizione “revenge porn” è problematico e fuorviante per una serie di ragioni. La prima riguarda l’implicazione del concetto di “vendetta”. Evocare la “vendetta” innanzitutto riduce troppo il campo: «In questo modo si tratta il problema come se fosse una questione esclusivamente tra due persone, un po’ come succedeva con la violenza domestica. Invece è un problema più ampio, sono più persone che partecipano all'abuso», spiega Semenzin. Il più delle volte, inoltre, la vendetta, non c’entra nulla: un sondaggio condotto nel 2017 dall’organizzazione Cyber Civil Rights Initiative che si occupa del tema, ha mostrato come per il 79% di coloro che avevano condiviso immagini intime private, “vendicarsi” o “fare del male alla vittima” non erano state motivazioni alla base del loro gesto.
Molto prima della vendetta, secondo un articolo scritto dalla ricercatrice Sophie Maddocks su Gender.it, c'è quella che è stata definita la "logica dell'outing", ossia il fatto che le persone possano ottenere un potere rivelando pubblicamente un fatto personale di altri, senza il loro consenso. Le norme sociali che colpevolizzano le donne permettono alle persone di fare outing del fatto che una donna si sia lasciata filmare - senza che questo provochi in loro alcun senso di colpa. Questa, semmai, ricade sulle vittime, insieme allo stigma sociale.
La vendetta, infine, implica che ci sia stato un torto all’origine, addossando così una sorta di peccato originario sulle vittime. Come ha detto all’Huffington Post Lauren Evans, una donna inglese che alcuni anni fa ha trovato online alcune sue foto senza maglietta che sarebbero dovute rimanere private, «la definizione di vendetta è che qualcuno fa qualcosa a te perché tu hai fatto qualcosa a loro, implica che le vittime debbano aver fatto qualcosa per meritarsi questo».
Anche il riferimento alla pornografia non è corretto, perché nel caso del porno si tratta comunque di un’attività consensuale, mentre il consenso è proprio l’elemento chiave mancante nella condivisione di materiale intimo che doveva restare privato. Non è pornografia: è un atto lesivo travestito da intrattenimento. Eppure, al di là dell’uso comune di “revenge porn”, quando si parla di questi casi si vedono spesso titoli e articoli che parlano di “video hard” e simili”.

Sottolineo: un atto lesivo travestito da intrattenimento. E smettiamola tutti con locuzioni come video hard, foto hard, hot ecc.

CONTACT TRACING
A che punto siamo con Immuni?
Considerato anche il passaggio della gestione della app da Bending Spoons, la società milanese che l’ha sviluppata, alla coppia di aziende pubbliche Sogei e PagoPA? Prova a tirare le fila Agenda Digitale che scrive: ““La speranza è che si sia in un momento di passaggio di consegne tra sviluppatori, e dunque che presto vedremo riprendere lo sviluppo di questo strumento che potenzialmente sarebbe utilissimo e che, fino ad ora, ha dovuto combattere contro la diffidenza degli utenti e un sottoutilizzo da parte di chi avrebbe dovuto farlo funzionare”.

COVIDLEAKS
Un sito per ricevere e pubblicare i dati sul Covid19
L'Associazione Luca Coscioni insieme a "Soccorso civile" hanno lanciato il progetto "CovidLeaks" che ha come obiettivo la pubblicazione di tutti i dati sul Covid19 in formato aperto e disaggregati. Lo scopo di questo sito, realizzato grazie alla piattaforma Globaleaks (la stessa che uso anch’io per ricevere segnalazioni anonime) e attivo da novembre 2020, è di raccogliere segnalazioni da parte di privati cittadini e professionisti su temi di interesse civile e sociale, a partire dall'emergenza coronavirus, proteggendo la loro privacy (a questo scopo però è raccomandato scaricare il Tor Browser e seguire le indicazioni e l’indirizzo che ci sono sul sito stesso). Il sito Covidleaks

CYBERCRIME
Due arresti a Leonardo per una violazione informatica mossa dall’interno
Nei giorni scorsi è emersa una indagine su un “attacco alle strutture informatiche della Divisione Aerostrutture e della Divisione Velivoli di Leonardo S.p.A.”, il colosso italiano della difesa. L’indagine - coordinata dal gruppo di lavoro sul cybercrime della Procura della Repubblica di Napoli con il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) e la polizia postale di Napoli - ha portato a “due ordinanze di misure cautelari per un addetto alla gestione della sicurezza informatica della stessa Leonardo, accusato di accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali; e al responsabile del C.E.R.T. (Cyber Emergency Readiness Team)”, cioè l’organismo deputato alla gestione degli attacchi informatici subiti dalla stessa azienda, per depistaggio, riferisce il comunicato della polizia. In questa ricostruzione l’attacco - finalizzato alla sottrazione di dati e documenti - sarebbe dunque nato da dentro la stessa Leonardo, e sarebbe durato quasi due anni, dal maggio 2015 al gennaio 2017. Solo a partire dal 2017 - scrive ancora il comunicato - “la struttura di cyber security di Leonardo S.p.A. segnalava un traffico di rete anomalo, in uscita da alcune postazioni di lavoro dello stabilimento di Pomigliano D’Arco, generato da un software artefatto denominato “cftmon.exe”, sconosciuto ai sistemi antivirus aziendali. Il traffico anomalo risultava diretto verso una pagina web denominata “www.fujinama.altervista[.]org” (oggi sequestrata, dice la polizia).
Sebbene a prima vista, e nella prima denuncia di Leonardo, l’anomalia informatica sembrasse circoscritta, successive indagini - scrive sempre  il comunicato - avrebbero ricostruito uno scenario più esteso e severo. L’attacco - definito “un attacco informatico mirato e persistente (noto come Advanced Persistent Threat o APT)” sarebbe infatti stato condotto con l’installazione di un trojan, un software malevolo che ha permesso l’esfiltrazione di dati e informazioni classificati di rilevante valore aziendale. E ancora: il software malevolo era “inoculato mediante l’inserimento di chiavette USB nei PC spiati, in grado così di avviarsi automaticamente ad ogni esecuzione del sistema operativo. (...) Dati aziendali riservati dello stabilimento di Pomigliano D’Arco di Leonardo S.p.a. erano così di fatto nel pieno controllo dell’attaccante, che, grazie alle proprie mansioni aziendali, era nel tempo in grado di installare più versioni evolutive del malware, con capacità ed effetti sempre più invasivi e penetranti”.
La superficie dell’attacco avrebbe interessato 94 postazioni di lavoro, delle quali 33 collocate presso lo stabilimento aziendale di Pomigliano D’Arco. A queste 33 macchine risulterebbero esfiltrati 10 Giga di dati, “afferenti alla gestione amministrativo/contabile, all’impiego delle risorse umane, all’approvvigionamento e alla distribuzione dei beni strumentali, nonché alla progettazione di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale. Accanto ai dati aziendali, sono state oggetto di captazione anche le credenziali di accesso ed altre informazioni personali dei dipendenti della Leonardo. Oltre alle postazioni informatiche dello stabilimento di Pomigliano D’Arco, sono state infettate 13 postazioni di una società del gruppo Alcatel, alle quali se ne sono aggiunte altre 48, in uso a soggetti privati nonché ad aziende operanti nel settore della produzione aerospaziale”.

Ci sono come al solito molte speculazioni in giro sulla vicenda ma ancora troppi dettagli mancanti, e vari aspetti che devono essere chiariti. Che tipo di documenti/dati sono stati sottratti esattamente? Erano di valore strategico? Leonardo dice di no, e assicura in una nota che i “dati classificati ossia strategici sono trattati in aree segregate e quindi prive di connettività e comunque non presenti nel sito di Pomigliano”.
E poi, si trattava dunque di un’operazione interna con un solo protagonista, senza mandanti, sodali o acquirenti? Ovvero, quale era l’obiettivo finale dell’esfiltrazione? Il comunicato della polizia dice che il software malevolo è stato “creato per finalità illecite delle quali è in corso la compiuta ricostruzione”, come se non fosse ancora chiaro l’uso finale.

“Se si conferma un’operazione interna ad opera di un solo individuo, avvenuta su una rete che non conteneva dati strategici, forse non bisognerebbe chiamarlo APT, termine che evoca operazioni di spionaggio di alto livello”, commenta a Guerre di Rete Alberto Pelliccione, Ceo della società di cybersicurezza ReaQta. “Di solito negli attacchi a fini di spionaggio le informazioni sottratte seguono percorsi differenti e più schermati rispetto a quelli evidenziati”. 
E se è stato un attacco tecnicamente non così sofisticato di un singolo interno, come ha fatto a passare inosservato per due anni in una realtà di quel tipo?

CYBERSICUREZZA
Le password VPN di 700 aziende e istituzioni italiane scaricabili da tutti
“I dati di oltre 700 aziende italiane e istituzioni potrebbero essere stati trafugati in questi mesi senza che nessuno se ne sia accorto. Questo perché nessuna di queste aziende ha aggiornato gli apparati di rete dopo il rilascio, a novembre dello scorso anno, della urgente patch correttiva. Un caso di cattiva gestione informatica che rischia di avere strascichi enormi, sia dal punto di vista economico sia sotto il profilo della tutela dei dati personali. La cosa ancora più grave è che molte di queste aziende sono tutt’ora vulnerabili, hanno ancora sistemi non aggiornati e le credenziali di accesso alla loro rete sono pubbliche sul web, scaricabili da canali Telegram russi o forum di hacker. Le 700 aziende non sono sole: fanno parte di un pacchetto di 50.000 credenziali VPN che appartengono a organizzazioni di tutto il mondo”, scrive DDay.it in un lungo e dettagliato approfondimento sul tema.
Vedi anche Wired italia.

PRIVACY
I dati delle nostre app dove vanno? Qualcuno ha provato a mapparli
Il passaggio di dati raccolti dalle nostre app sul telefono, ai data broker, e da lì ai loro clienti, è un intrico inestricabile. Un giornalista norvegese ci si è tuffato a capofitto provando a riannodare i fili dei vari passaggi per uscire dal labirinto. Ne è risultata una inchiesta illuminante. Che da una app usata come navigatore porta attraverso vari e oscuri passaggi fino a una società della Virginia. E da lì, forse, a varie agenzie federali americane. E il GDPR?
NRKbeta. Altre info su Motherboard US

ASSANGE
Si fanno più forti le voci contro l’estradizione
Edward Snowden ha chiesto a Trump di concedere la grazia a Julian Assange, il fondatore di Wikileaks che sta combattendo da una prigione britannica contro l’estradizione negli Stati Uniti, mentre su Twitter sostenitori e giornalisti chiedono che sia liberato.
Zdnet

LETTURE

SOCIAL, VACCINI E DISINFO
Le false informazioni sui vaccini, una conversazione online e perché amo i social media - ovvero come sui social è possibile condividere buona informazione, anzi, conoscenza, e avere proficue conversazioni - Valigia Blu

INDUSTRIA TECH
L’acquisizione di Slack da parte di Salesforce segna il consolidamento del mercato degli strumenti di lavoro, con tre grandi attori: Salesforce, Microsoft, Google. E sottolinea l’importanza, al di là delle qualità intrinseche del prodotto, della rete distributiva. E forse anche la fine dell’idea che un innovatore nel settore possa rimanere a lungo indipendente? Insieme alla fine dell’idea che tali strumenti fossero scelti in autonomia dai dipendenti? Casey Newton riflette su come Microsoft (col lancio anni fa del suo Teams) abbia portato a questo esito - Platformer

CRYPTO UE
Salviamo la crittografia (e la nostra libertà) dagli attacchi del Consiglio Ue - Agenda Digitale

SALUTI E CONTATTI
Se qualcuno vuole contattarmi in modo anonimo (o, quanto meno, con una maggiore probabilità di privacy e senza dover passare per una casella email o un account legato a un telefono) può farlo andando su https://contact.carolafrediani.org/#/ via Tor Browser (se da dentro la newsletter non si apre link basta riscriverlo nel browser).
È una piattaforma open source creata da Globaleaks (che ringrazio! in particolare un grande grazie a Giovanni Pellerano) che permette a giornalisti, media e organizzazioni (qua ce ne sono alcune) di ricevere segnalazioni e a chi segnala di proteggere la propria privacy (qui un articolo in inglese su chi sono, che fanno).
Oppure potete scrivermi una mail con PGP. O contattarmi solo su Signal +14783944294. O, se non avete particolari esigenze di privacy, molto semplicemente, rispondere a questa newsletter.

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!