Guerre di Rete - Vogliamo tutto: cifratura e interoperabilità
E poi gli ultimi attacchi cyber legati alla guerra in Ucraina.
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.129 - 3 aprile 2022
Ricordo che questa newsletter (che oggi conta più di 10mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista degli oltre 500 donatori)
In più, a marzo il progetto si è ingrandito con un sito di informazione cyber, GuerrediRete.it. Qui spieghiamo il progetto. Qui l’editoriale di lancio del sito.
In questo numero:
Cifratura e interoperabilità: la sfida dell’Ue
Ucraina e “cyber war”: attacco a una telco
Ucraina e “cyber war”: Viasat e il wiper
Ucraina e infowar: TikTokers e cybercriminali
Profili finti: la variabile LinkedIn
E altro
UE
Vogliamo tutto: cifratura e interoperabilità
In questi giorni nell’Unione europea c’è stato un passo avanti decisivo del Digital Markets Act (DMA), la proposta di legge sui mercati digitali che vuole regolare le grandi piattaforme che agiscono come gatekeeper (aziende che possono sfruttare la loro posizione per applicare pratiche anti-concorrenziali e che possono fare da collo di bottiglia). Così, dopo un dialogo di 8 ore tra Parlamento, Consiglio e Commissione europea, è stata raggiunta un’intesa sul testo del DMA, ancora da finalizzare e poi approvare, che, tra le altre cose, obbliga questi gatekeeper a interoperare con servizi più piccoli.
Su chi si applica il DMA: i gatekeeper
Le misure vogliono ridefinire le regole per i principali protagonisti del mercato digitale, in particolare per quelle grandi aziende che controllano un “servizio di piattaforma di base” (core platform services), come motori di ricerca, social network, app di comunicazione interpersonale (vedi analisi dettagliata), e che hanno una capitalizzazione di mercato di almeno 75 miliardi di euro, o ricavi annuali di 7,5 miliardi di euro. Queste aziende, per essere definite gatekeeper, devono anche fornire un certo tipo di servizi (browser, messenger, social media) che abbiano almeno 45 milioni di utenti mensili nell’Ue e diecimila clienti business annuali.
Interoperabilità per i servizi di messaggistica
Dunque ora i legislatori europei hanno previsto una serie di obblighi, e in particolare questo: i più grandi servizi di messaggistica (come WhatsApp, Facebook Messenger e iMessage) devono aprirsi ed essere interoperabili con piattaforme di messaggistica più piccole, se queste lo richiedono. Gli utenti di piattaforme piccole o grandi saranno dunque in grado di scambiarsi messaggi, inviarsi file, fare video chiamate attraverso app di messaggistica diversa. Questo significa molta più scelta per gli utenti. Se un giorno una delle app che utilizzano dovesse cambiare i propri termini di servizio, gli utenti potranno migrare su un’altra senza perdere i propri contatti. Se vorranno utilizzare un’app più di nicchia, potranno farlo raggiungendo anche il resto degli amici che stanno su quella più popolare, liberandosi dai condizionamenti del network effect (quel fenomeno per cui il valore di un servizio aumenta col numero dei suoi utenti) ben presente sui social network ma che ha un ruolo anche nelle app di messaggistica. A questo proposito l’interoperabilità per i social network slitta, verrà però valutata in futuro dai legislatori europei.
Come funzionerà
Per Andreas Schwab, il rapporteur del Parlamento europeo, i servizi di messaggistica soggetti al requisito di interoperabilità dovranno aprire le loro API (Application Programming Interfaces, ovvero le interfacce che consentono ad applicazioni di parlare con altre applicazioni) ai concorrenti per fornire una messaggistica interoperabile per le funzioni di base — mentre i servizi più piccoli non dovranno farlo. E quindi le prime funzioni di base saranno messaggi da uno a uno, chiamate e videochiamate, trasferimento di file, e solo dopo, col tempo, anche chat di gruppo. “E tutto dovrà essere cifrato end-to-end”, ha dichiarato Schwab a TechCrunch, aggiungendo: “L’interoperabilità arriverà. E sarà anche sicura. Se le autorità per la comunicazioni dicono che non è possibile farlo per le chat di gruppo end-to-end entro i prossimi nove mesi, allora arriverà comunque il prima possibile”.
I dubbi sull’impatto sulla cifratura
Siamo di fronte a una notizia molto importante, ed è quasi superfluo sottolineare quanto l’interoperabilità sia fondamentale e rivoluzionaria per i consumatori. Tuttavia le rassicurazioni di Schwab non hanno convinto una serie di esperti che si sono preoccupati per l’effetto che l’obbligo di interoperabilità potrebbe avere proprio sulla cifratura end-to-end, quella più sicura, in cui solo mittente e destinatario hanno le chiavi per cifrare e decifrare le comunicazioni.
Secondo The Verge, il consenso tra i crittografi è che sarebbe difficile mantenere la cifratura fra app, con molte implicazioni per gli utenti. Va detto che comunque app con un’utenza più limitata, come Signal o la stessa Telegram, non sarebbero interessate dal DMA. Ma nel caso ad esempio di WhatsApp, il provvedimento potrebbe significare che la cifratura end-to-end debba essere rimossa o indebolita in alcune funzioni, sostiene The Verge. Il rischio, secondo questo ragionamento, è che per rendere compatibili diversi servizi di messaggistica si debba abbassare la sicurezza di quelli con funzioni più avanzate. Un’alternativa a questa strada, ipotizza sempre The Verge, è che l'incompatibilità fra piattaforme sia risolta decifrando e ricifrando i contenuti quando transitano da una all’altra, ma questo “romperebbe la catena della cifratura end-to-end creando un punto di vulnerabilità per un attore malevolo che voglia intercettare”.
A esprimere scontento per il DMA sembra essere soprattutto Meta. Per Will Cathcart, a capo di Whatsapp, “rendere le app di messaggistica cifrata end-to-end interoperabili è tecnicamente difficile e crea rischi reali per la privacy, la sicurezza e l’innovazione”, scrive Wired. Il riferimento qui, oltre all’uso della cifratura e di funzioni correlate, è al rischio di un incremento nello spam e nella disinformazione, su cui Meta negli ultimi anni ha lavorato con vari meccanismi (ad esempio, in WhatsApp, mettendo dei limiti agli inoltri). Anche secondo il giornalista tech Casey Newton, autore della newsletter Platformer, che ha intervistato lo stesso Cathcart, “è chiaro che, per quanto ci possa essere un modo per servizi come iMessage e WhatsApp di interoperare e preservare la cifratura, questo modo deve ancora essere inventato. O, quanto meno, costruito”.
Fun fact: in campo sarebbe entrato, suo malgrado, perfino un dirigente della divisione cyber dell’FBI che, alla domanda se l’interoperabilità voluta dal DMA avrebbe creato vulnerabilità indebolendo la cifratura, ha risposto di sì.
Il fronte di chi dice di volere tutto
Ma, al di qua dell’Atlantico, anche fra sostenitori della privacy e della cifratura, le posizioni sono più sfumate e articolate. Un’interessante analisi l’ha fatta Matthew Hodgson, il cofondatore del progetto Matrix.org, un'organizzazione che vuole superare la frammentazione delle applicazioni di messaggistica e VoIP e creare un nuovo ecosistema che renda la comunicazione in tempo reale universale e interoperabile come l’email (in cui ognuno può usare il client che vuole e scambiarsi messaggi con chiunque). L’analisi di Hodgson è lunga e tecnicamente complessa ma in sostanza, dice, il DMA non richiede né incoraggia una riduzione della cifratura end-to-end per WhatsApp o altri simili servizi: la piena cifratura end-to-end sarà ancora lì per gli utenti sulla stessa piattaforma. Il problema è per chi voglia comunicare con utenti di altri servizi “a meno che non parlino esattamente lo stesso protocollo”. Perché in tal caso “nel punto in cui interoperi con un sistema diverso dovrai ri-cifrare i messaggi per quel sistema (...) E questo aumenta la superficie di attacco per la conversazioni”.
Hodgson prosegue specificando che “se gli utenti parlano con altri utenti WhatsApp (...) la cifratura end-to-end dovrebbe e deve essere mantenuta - e non c’è nulla nel DMA che dica il contrario. Ma se l’utente consapevolmente volesse dare priorità all’interoperabilità rispetto alla cifratura?”.
Alla fine, è il suo discorso, la privacy non dovrebbe andare a discapito della libertà di scelta. Ma Hodgson si spinge anche a proporre alcune soluzioni tecniche. Insomma, per lui si può avere interoperabilità e si può anche avere la privacy: basta volerlo davvero.
Interessante anche l’analisi del DMA che fa il ricercatore europeo Ian Brown: “Un servizio di messaggistica che offre solo comunicazioni cifrate end-to-end (come WhatsApp) - sembra abbastanza chiaro da questo testo, (cioè dal testo del DMA, ndr) - non sarà obbligato a offrire funzionalità interoperabili che non siano cifrate end-to-end”. Quindi, prosegue Brown, saranno “i concorrenti di questi gatekeeper a dover supportare i protocolli del gatekeeper”.
Un’ipotesi - mi spiega Gerardo Di Giacomo, che oltre a far parte del progetto Guerre di Rete ha lavorato proprio sulla sicurezza di due importanti app di messaggistica - è che ogni app scelga come implementare l’interoperabilità rispetto alle proprie funzioni. “Il protocollo interoperabile potrebbe essere una base, come il protocollo sms, e poi ogni app potrebbe avere le sue feature, a seconda delle preferenze dei suoi utenti. Ciò che è difficile in tutto ciò è definire questo protocollo di base. Che è effettivamente come ridefinire il protocollo sms dei prossimi 30 anni. Meno difficile se le aziende decidono di collaborare”. Insomma è una sfida ma anche una opportunità.
Rispetto alle posizioni allarmiste è ancora più duro Reuben Binns, professore di Human Centred Computing a Oxford che scrive su Twitter: “Vedo molta FUD (paura, incertezza, e disinformazione) su questo tema per cui l’interoperabilità dei servizi di messaggistica (secondo il DMA) sarebbe incompatibile con la cifratura end-to-end. Ma invece possiamo avere entrambe” e linka un articolo tecnico del già citato Brown.
Dunque? Dunque il tema è complesso, ancora non appaiono chiarissime le ricadute concrete del DMA, pochi sembrano avere soluzioni pronte che piacciano a tutti, e di sicuro ci sono anche interessi di parte (uno scarso entusiasmo per l’interoperabilità da parte dei gatekeeper, a prescindere dalla questione cifratura) che si sovrappongono all’analisi tecnica. Occorre seguire bene come si sviluppa, e qui cercheremo di continuare a farlo.
GUERRA IN UCRAINA
Telco ucraina colpita da cyberattacco
Il maggiore operatore di telecomunicazioni ucraino per copertura geografica, Ukrtelecom, ha subito un attacco informatico che ha portato a una graduale perdita di connettività, successivamente recuperato. La natura dell’attacco sarebbe stata confermata dallo stesso Isp, e dalle autorità ucraine (che hanno accusato i russi), anche se non ci sono molti dettagli sul tipo di incidente, scrive Forbes. Per il servizio NetBlocks, che traccia il funzionamento della rete nel mondo, si tratterebbe dell’azione cyber più significativa dall’inizio della guerra e i disservizi sarebbero durati 15 ore. Il CERT ucraino (il team di risposta alle emergenze informatiche) ha comunicato che tra il 15 e il 22 marzo l’Ucraina avrebbe subito 60 diversi cyberattacchi, di cui 11 contro autorità governative e 8 contro militari e sicurezza, 6 contro entità finanziarie, 4 contro telco. Molti di questi sarebbero stati dedicati più alla raccolta di informazioni, ma non mancano software malevoli e “distruttivi”, come gli wiper.
Viasat conferma attacco, ipotesi wiper
Le scorse settimane in questa newsletter ho scritto in dettaglio dell’attacco a Viasat, un fornitore di servizi internet satellitari, che ha portato molti utenti in Europa (anche in Italia, come riferito in questa newsletter) alla disconnessione e alla sostituzione dei modem.
Ora si sono aggiunte alcune informazioni. La prima: Viasat ha confermato l’attacco con una dichiarazione in cui dice che questo è avvenuto su un segmento del suo network KA-SAT operato dalla sussidiaria di Eutelsat, Skylogic. Che è stata una intrusione nel network avvenuta, scrive Punto Informatico, “sfruttando l’errata configurazione di una appliance VPN. Utilizzando il sistema di gestione della rete hanno successivamente inviato ai modem comandi distruttivi che hanno sovrascritto i dati nella memoria flash. Ciò ha impedito ai modem di accedere alla rete. Anche se potevano essere ripristinati con un reset di fabbrica, Viasat ha consegnato ai distributori locali quasi 30.000 modem sostitutivi”.
La seconda è che di mezzo ci sarebbe un wiper, un software malevolo progettato per distruggere dati. Ad avanzare questa ipotesi, di fatto poi confermata a Zdnet anche da Viasat, è stata la società di sicurezza SentinelOne in un report. Il wiper si chiama AcidRain ed è progettato per mettere fuori uso i modem (e avrebbe somiglianze con un altro wiper attribuito a Sandworm, un gruppo di hacker russi che le autorità Usa collegano al GRU, l’intelligence militare russa). Secondo i ricercatori di SentinelOne, dunque, si sarebbe trattato di un attacco supply chain dove gli attaccanti avrebbero usato il meccanismo di management di KA-SAT per inviare questo wiper ai modem e router presi di mira. “Un wiper per questo tipo di apparecchi sovrascrive dati chiave nella memoria flash del modem, rendendolo inoperabile e obbligando a un rimpiazzo o un reflash”, scrive SentinelOne.
SOCIAL MEDIA E GUERRA
Le contraddizioni delle piattaforme
La guerra in Ucraina ha fatto esplodere le contraddizioni interne alle policy e alle pratiche delle piattaforme digitali. Così ogni social network ha adottato misure diverse, a volte anche in conflitto con le sue precedenti decisioni, scrive il WashPost.
TikTokers in guerra (e il rischio Splinternet)
A questo proposito, proprio questa settimana sul sito Guerre di Rete (nato qualche settimana fa, qui avevo raccontato tutto) abbiamo esaminato il ruolo di TikTok nell’infowar legata alla guerra in Ucraina. E il rischio che alcune decisioni delle piattaforme accelerino la frammentazione della Rete.
Scrive Andrea Nepori: “Il potenziale info-bellico di TikTok, soprattutto tra i più giovani, è risultato immediatamente chiaro tanto al blocco occidentale quanto alla Russia ed entrambe le parti hanno cercato (e cercano) di piegarne i meccanismi a proprio favore. (...) La disinformazione riscontrata dagli analisti non è a senso unico: l’algoritmo di TikTok ha promosso e promuove senza soluzione di continuità sia contenuti fuorvianti ascrivibili alla propaganda del Cremlino, sia video e informazioni false favorevoli all’Ucraina. Cercando termini relativi alla guerra, i ricercatori di Newsguard hanno riscontrato un generale appiattimento tra i contenuti provenienti da fonti giornalistiche accreditate (e verificate con la spunta blu) a contenuti chiaramente di natura propagandistica, senza distinzioni chiare e ben riconoscibili.
Un problema ricorrente da entrambe le parti, ma molto comune fra i risultati a favore dell’Ucraina, è quello esemplificato dal video dell’influencer russa e del carro armato, cioè il falso collocamento cronologico del contenuto”.
Leggi tutto: Non solo balletti: il ruolo di TikTok nell’infowar (Guerre di Rete)
GUERRA E CYBERCRIME
La vita d’ufficio dei cybercriminali
Una delle (improbabili e impreviste) conseguenze della guerra in Ucraina è stato anche un leak sul Conti Group, uno dei gruppi ransomware più temuti e aggressivi, ma soprattutto ben organizzati. Il leak ha aperto uno squarcio proprio sulla complessa organizzazione interna del gruppo. Tra team building, differenti ruoli, reclutamento e formazione, onboarding, turni, lamentele e burnout, scrive Federico Nejrotti in Startup malware: come lavorano le gang cybercriminali su Guerre di Rete.
Le vittime in Italia
A questo proposito, scrive in questi giorni Luca Zorloni su Wired Italia, “dall'inizio dell'anno Conti (...) ha già messo nel mirino in Italia un serie di piccole e medie imprese. Mentre l'anno scorso quasi un quarto delle vittime di attacchi ransomware in Italia osservate da Palo Alto Networks, tra le principali società di cybersecurity al mondo, è riconducibile alla mano di Conti. Parliamo di 24 aziende, stando ai dati estratti per Wired. I settori più colpiti sono alimentare, produzione di macchinari e servizi professionali”.
PROFILI FINTI
Se il commerciale su LinkedIn è un deepfake
Un'indagine dello Stanford Internet Observatory e di NPR ha portato alla luce più di mille profili LinkedIn che avrebbero utilizzato volti inesistenti, creati con software di intelligenza artificiale, utilizzati a fini commerciali. In pratica profili che contattano potenziali clienti sul social network lavorativo, mandano loro dei messaggi e poi, se questi abboccano, li mettono in connessione con qualcuno, di reale, del reparto vendite. Alcuni di questi profili esaminati dai ricercatori non hanno solo immagini finte, ma anche cv del tutto farlocchi. Quando hanno provato a verificarli chiedendo informazioni alle aziende o alle università in cui era scritto che avevano lavorato o studiato, non c’erano riferimenti sul loro nome.
Qualche settimana fa sul sito Guerre di Rete avevo scritto dell’avanzata dei troll di Stato e dell’uso di profili finti a fini di propaganda e disinformazione. Ora vediamo invece un esempio commerciale, in cui alcune aziende appaltano ad altre società di marketing attività del reparto vendite, e alcune di queste società si aiutano “moltiplicando” i propri profili con immagini, cv e nomi fittizi.
ITALIA DIGITALE
La causa del down dei siti di Agenzia delle Entrate, Finanze, Dogane e Sogei
Sarebbe stata una caduta di tensione a compromettere impianti e sistemi e avviare una catena di disservizi che si appoggiano all’infrastruttura di Sogei, la società pubblica di informatica. Col risultato di mandare offline una serie di siti e servizi: Agenzia delle entrate, dipartimento delle Finanze del ministero dell'Economia e delle finanze, Agenzia delle dogane e dei monopoli, la stessa Sogei. “E poi alcune funzioni per il download del green pass sul sito internet del governo, la ricetta elettronica, la rete delle scommesse online”, scrive Wired italia.
CRYPTOVALUTE
Axie Infinity, rubati 600 milioni di dollari al gioco
La blockchain alla base di Axie Infinity, il popolare crypto game basato su Nft, ha annunciato di avere subito un attacco informatico nel quale sono stati rubati 600 milioni di dollari in criptovalute, scrive Startmagazine
Vedi anche il Financial Times. Su Ars Technica la dinamica della violazione.
APPROFONDIMENTI
STRUMENTI
WhatsApp ha deciso di aggiungere una funzione che consente di visualizzare foto e video una volta sola. Le implicazioni sulla privacy e le attività investigative spiegate dall’esperto di informatica forense Paolo Dal Checco su Cybersecurity360.
PRIVACY
Trasferimento dati dei cittadini europei: in arrivo un nuovo accordo USA-UE? - scrive Bruno Saetta su Valigia Blu.
Un quarto d'ora per capire il nuovo PrivacyShield con gli USA: da Schrems al Trans-Atlantic Data Privacy Framework. Ne parla l’avvocato Giuseppe Vaciago con Matteo Flora in questo video su YouTube.
SU DI NOI
Radio Svizzera Italiana mi ha intervistato sul progetto Guerre di Rete e sulla rilevanza di temi cyber nella società e nell'informazione. Si riascolta nel podcast Millevoci (dal min 15) https://t.co/oovGyikbfN
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione. La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito di notizie, una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).