E poi censura; e trojan... what else?
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.80 - 13 settembre 2020
Buongiorno a tutti, eccoci qua di nuovo dopo la pausa estiva. Sono già due
anni che esiste questa newsletter. Nel tempo è cresciuta (di utenti e spero
anche di contenuti), ma è sempre rimasta gratuita, accessibile, priva di
sponsor, pubblicità o altro. Ricordo per chi fosse nuovo che la scrivo nel mio
tempo libero, con l’intento di fare informazione su questi temi.
Qui raccontavo due anni fa come era nata
e il suo senso. E qui c’è una sua presentazione in
un convegno sui nuovi giornalismi. La trovate anche molto citata online e da
testate varie - apprezzo sempre molto quei giornalisti che decidono di citarla,
anche quando potrebbero usarla in silenzio (ma va bene lo stesso, è fatta
apposta per essere usata in fondo). Ah, e qua c’è l’archivio di tutti i suoi numeri (a me
serve molto, magari anche a qualcuno di voi).
Bene, le presentazioni sono fatte (e per altre info pratiche, ad esempio come
contattarmi, andate in fondo). Basta chiacchiere, abbiamo un periodo intenso
davanti. Buona lettura.
PS: Per chi è in zona ci vediamo domenica 27 settembre al Trieste Next, dove
parlerò del mio libro #Cybercrime con Sergio Maistrello
PREDICTIVE POLICING
Sorveglianza predittiva e contee di polizia
C’è una storia dalla provincia americana che racconta plasticamente i
rischi e le aberrazioni del predictive policing. Con questa definizione si
intende, per farla breve, l’uso di varie tecniche di analisi dei dati per
prevenire il crimine, tendenzialmente individuando dei target per la polizia.
Ovvero “un metodo per impiegare risorse delle forze dell’ordine sulla base di
analisi guidate dai dati che dovrebbero predire colpevoli, vittime o luoghi di
futuri crimini”, secondo l’associazione Electronic Frontier Foundation. Queste
tecnologie sono entrate nell’uso dei dipartimenti di polizia di varie città
americane (e non solo) negli ultimi anni. A produrle aziende come PredPol,
HunchLab, CivicScape, Palantir ma anche università, come la Carnegie Mellon
University col suo CrimeScan. Nell’estate 2020, strumenti di questo tipo sono
usati in dozzine di città statunitensi, da New York a Portland, da Orlando ad
Atlanta.
Il concetto è il seguente: si analizzano grandi quantità di informazioni da
crimini precedenti incluse indicazioni relative all’ora, stagione, meteo,
tipologia di vittime, luogo e così via, al fine di inferire quando e dove del
nuovo crimine potrebbe accadere. Esiste poi un predictive policing “person based”,
basato sulle persone (e non sui luoghi). Si crea un sistema di rating che
assegna agli individui un valore di rischio basato su un certo numero di flussi
di dati, dall’età alla sospetta affiliazione a gang ai precedenti, ma anche al
fatto se il soggetto sia stato a sua volta vittima di crimini, e altro.
Entrambi i sistemi sono evidentemente problematici. Il sistema di rating delle
persone crea delle liste nere imperscrutabili in cui chi ci finisce diventa
automaticamente un sospettato per future azioni. E anche l’individuazione di
aree geografiche a rischio può gettare sulle stesse, e soprattutto su chi le
frequenta, un’aura di sospetto e un eccesso di controllo da parte della
polizia, specie in contesti sociali dove sono già presenti discriminazioni contro
minoranze (questo aumento di controllo significa spesso anche un aumento nella
rilevazione di reati minori o infrazioni, che porta a sua volta ad alzare il
punteggio negativo dell’area, e a maggiore controllo, in un circolo vizioso.)
Questo per quanto riguarda, come dire, l’astratta analisi sociologica. Ma
il bagno di realtà ci arriva dalla contea di Pasco, in Florida. Qui dal 2011,
al momento dell’insediamento, lo sceriffo decise di creare un avanzato
programma di intelligence per fermare il crimine prima che avvenisse. Il
risultato però è stato di mettere in piedi un sistema per monitorare e
molestare continuamente vari residenti della contea, racconta un
eccezionale reportage del Tampa Bay Times. Infatti
l’ufficio dello sceriffo genera liste di persone considerate a rischio di
violare la legge, in virtù dei loro “precedenti, di altra non specificata
intelligence, e di decisioni arbitrarie prese dagli analisti della polizia”. A
quel punto sono mandati degli agenti a cercare e interrogare periodicamente
quelli che sono nella lista, senza alcun indizio fondato, mandato o prova che
sia stata commessa qualche violazione. A essere interrogati anche parenti e
amici, anche sul luogo di lavoro. Le spedizioni della polizia potevano avvenire
a qualsiasi ora, pure di notte, e se trovavano resistenza si trasformavano in
multe per piccole violazioni, come l’assenza del numero sulla cassetta delle
lettere o l’erba non tagliata nel prato davanti a casa. Un ragazzino di 15
anni, colpevole in passato di aver rubato una moto (e di aver scontato la
relativa pena) ha avuto visite della polizia per 21 volte, tra il settembre
2019 e il gennaio 2020.
I più tartassati dal sistema sono stati quelli identificati come “delinquenti
prolifici”. A definirli come tali un algoritmo inventato dal dipartimento che
assegna alle persone un punteggio in base ai precedenti, ma questi includono
anche arresti per cui successivamente le accuse sono cadute. Il fatto di essere
stato anche solo sospettato per qualcosa ti fa guadagnare punti. Tale punteggio
viene poi “migliorato” mettendo assieme altri parametri, incluso il fatto di
apparire in un report della polizia come testimone. Il sistema crea quindi una
lista di trasgressori ogni 90 giorni, anche se gli analisti della polizia la
rivedono a mano e determinano il centinaio di persone che dovrebbero
rientrarci, inclusi i Top 5, i primi cinque. Poi partono le visite.
Moltissimi in questa lista erano giovani accusati in passato di reati minori.
Loro e le loro famiglie sono stati quindi molestati per anni. Alcuni se ne sono
andati, altri hanno fatto causa. Il ragazzo di quindici anni si è suicidato.
Non sappiamo la causa del gesto, o quanto abbiano pesato queste “attenzioni”
rispetto ad altri fattori, ma dal racconto emerge che di certo la situazione
non è stata d’aiuto.
Torniamo al quadro più ampio. A giugno la città di Santa Cruz, California,
è stata la prima negli Usa a mettere al bando l’uso del predictive policing.
Proprio la città che era stata fra le prime ad adottarlo, nel 2011 (in quel
caso la modalità era quella per area geografica, e non per persona). Tuttavia,
dopo nove anni, la città ha votato per un divieto a causa del timore che quello
strumento perpetuasse la diseguaglianza razziale. L’ordinanza della città
descrive così la tecnologia in questione: “software che è usato per predire
informazioni o trend sul crimine, o la criminalità nel passato o nel futuro, includendo
(ma non limitandosi) le caratteristiche, il profilo o l’identità di qualsiasi
persona ritenuta più a rischio di commettere crimini, i luoghi o la frequenza
del crimine, o le persone colpite dal crimine previsto”.
Una delle pecche principali del predictive policing sono i dati fallaci che
nutrono lo stesso sistema, spiega in un report la Electronic Frontier Foundation.
Prendiamo ad esempio i dati su reati, violazioni accadute ecc. Non tutti questi
eventi finiscono registrati. Inoltre alcune comunità tenderanno ad avere un
maggior tasso di segnalazioni di altri. E come dicevo prima, un aumento di
controllo può portare a un aumento di segnalazioni che può rendere il
predictive policing “una profezia che si autoavvera”.La tecnologia, scrive
ancora l’EFF, non può predire il crimine, ma “può solo usare la prossimità
all’azione di polizia da parte di una persona come un’arma contro la stessa. Un
individuo non dovrebbe vedere erosa la propria presunzione di innocenza perché
un contatto casuale, un famigliare o un vicino commettono un crimine”.
Come raccontavo a giugno in newsletter, il
movimento americano Black Lives Matter ha contribuito a rendere più forte la
critica all’uso del riconoscimento facciale nelle città. Ora è probabilmente lo
stesso clima di consapevolezza degli abusi da parte della polizia nei confronti
di minoranze razziali negli Usa a mettere sulla graticola il predictive
policing.
RICONOSCIMENTO FACCIALE
Il doppio ban di Portland
E a proposito di riconoscimento facciale. A Portland, in Oregon, città che
continua a essere attraversata da molte manifestazioni del movimento Black
Lives Matter, il consiglio comunale ha unanimemente votato per adottare due tra
le messe al bando più nette di tecnologie di questo tipo negli Usa. Il primo
divieto proibisce l’uso pubblico del riconoscimento facciale, ovvero l’uso da
parte di agenzie della città, incluso il dipartimento di polizia. L’altro
proibisce l’uso privato in ambienti pubblici, come parchi ed edifici.
Dunque le due ordinanze mettono al bando l’uso del riconoscimento facciale
in negozi, banche, ristoranti, trasporti pubblici, alloggi per homeless, uffici
medici, immobili in affitto, Airbnb, pensionati, e una vasta gamma di altri
luoghi/attività. E consente alle persone di fare causa sia ai privati sia al
governo nel caso di violazione delle norme. Rimangono fuori dal ban i club
privati, i luoghi di culto, le case private e i luoghi di lavoro come fabbriche
e uffici (ad eccezione delle zone accessibili al pubblico). via VentureBeat - Onezero
Riassumendo: Portland è importante perché per prima ha messo al
bando anche l’uso privato/corporate in ambienti pubblici.
La lista di città Usa che hanno vietato il
riconoscimento facciale: San Francisco, Boston, Oakland, Berkeley, Alameda,
Santa Cruz, Somerville, Brookline, Cambridge, Springfield, Northampton,
Easthampton, Portland ME.
RICONOSCIMENTO FACCIALE
Sei arrabbiato? Il software della polizia lo vuole capire
A livello globale però la battaglia sul riconoscimento facciale è tutta in
salita. Lo si capisce da una notizia minore che arriva dalla Gran Bretagna. La
polizia del Lincolnshire (UK) vuole testare una tecnologia di riconoscimento
facciale che sostiene di dedurre pure alcuni stati d’animo (in particolare
rabbia e stress) dei soggetti ripresi dalle telecamere, di riconoscere persone
che indossino occhiali e cappelli, e di identificare chi porti una borsa. Le
proteste non sono mancate. La critica, da parte ad esempio di associazioni come
Big Brother Watch, è in sostanza di buttare soldi in tecnologie invasive, prive
di efficacia, che espandono però lo stato di sorveglianza. L’AI (Intelligenza
Artificiale) per individuare emozioni sarebbe un mercato in crescita, ma c’è
ben poca evidenza che quella tecnologia funzioni, scrive NextWeb. E tempo fa l’istituto di
ricerca AI Now aveva chiesto già la sua messa al bando per decisioni
importanti. E questo senza nemmeno stare a cacciarsi nel rovo etico di
registrare e classificare i presunti stati d’animo di persone che transitano
per qualche luogo.
USA ELEZIONI 2020
Campagne presidenziali nel mirino di vari gruppi hacker (a partire dai russi)
Dopo mesi di attesa trepidante e di angosciante scrutinio di orizzonti
immobili, in una sorta di riedizione digitale del Deserto dei Tartari, gli
hacker russi sono tornati. Sono cioè tornati ad attaccare le campagne
presidenziali americane, sostiene Microsoft. Che sul piatto aggiunge però pure
Iran e Cina. “Nelle ultime settimane Microsoft ha individuato cyberattacchi
contro organizzazioni e persone coinvolte nelle imminenti elezioni
presidenziali”, scrive l’azienda sul suo blog, specificando che nel mirino sarebbero
state sia la campagna di Trump che quella di Biden.
In particolare la multinazionale di Redmond avrebbe osservato tre distinti
gruppi:
- il primo, Strontium, “che opera dalla Russia, ha attaccato più di 200
organizzazioni incluse campagne politiche, gruppi di advocacy, consulenti”.
Strontium è uno dei simpatici nomignoli dati a un gruppo di hacker russi
ritenuto tra i più avanzati e aggressivi, noto anche come APT28 o Sofacy o
Fancy Bear. Si tratterebbe dello stesso gruppo implicato nell’attacco ai
Democratici americani nelle presidenziali del 2016 che portò a vari leaks del
Comitato nazionale democratico e di John Podesta, il capo della campagna di
Hillary Clinton. E che il dipartimento di Giustizia Usa associò
all’intelligence militare russa, GRU, incriminando alcuni suoi agenti (racconto
quella vicenda nel mio ultimo libro #Cybercrime).
Rispetto al 2016 il gruppo si sarebbe però evoluto in alcune sue tattiche
includendo nuovi strumenti per fare ricognizione del target e dei suoi sistemi
(reconnaissance) e per offuscare le proprie attività. Inoltre mentre nel 2016
il gruppo si era affidato soprattutto all’invio di mail di spear phishing
(phishing mirato) per catturare le credenziali delle persone, negli ultimi mesi
si sarebbe invece impegnato in attacchi di forza bruta e di tipo “password
spray”, ha usato cioè due tattiche per trovare le credenziali di un profilo in
modo più o meno automatizzato.
Maggiore attenzione anche all’infrastruttura usata e all’uso di diversi
indirizzi IP per rendere più difficile l’identificazione. In pratica il gruppo
avrebbe migliorato un po’ la propria operational security (opsec), ovvero nel
contesto specifico la propria capacità di non essere facilmente individuati (ma
migliorata fino a un certo punto visto che Microsoft non si fa problemi a
nominarli). C’è da dire che gli attacchi finora mostrati sembrano però sparare
nel mucchio con poca strategia, se quanto meno stiamo alla parte emersa finora
(e se non ci stiamo perdendo qualcosa nel mentre). Sicuramente, come avevo raccontato in newsletter mesi fa, i
partiti Usa (e soprattutto i democratici) hanno rafforzato le proprie difese,
specie quelle contro il phishing e questo può aver obbligato gli attaccanti a
cercare strade diverse. In ogni caso APT28 o, come lo chiama Microsoft,
Strontium, resta il gruppo più insidioso.
Qui un documento più tecnico rilasciato sempre
da Microsoft su di loro.
- il secondo gruppo, Zirconium, “opera dalla Cina, ha attaccato individui di
alto profilo associati alle elezioni, incluse persone legate alla campagna
presidenziale di Joe Biden e leader di rilievo nella comunità che si occupa di
relazioni internazionali”.
- il terzo, Phosphorus, “opera dall’Iran, ha continuato ad attaccare gli
account personali di persone associate alla campagna presidenziale di Donald J.
Trump”.
La maggior parte di questi attacchi, scrive ancora Microsoft, sarebbero però
stati fermati da strumenti e sistemi di sicurezza.
Russia, Cina e Iran sono anche le tre nazioni indicate ad agosto
dall’intelligence americana come i tre soggetti principali da cui aspettarsi
cyber minacce in occasione delle elezioni 2020. Secondo la dichiarazione del direttore del National
Counterintelligence and Security Center, la Cina avrebbe una preferenza per una
non-rielezione di Trump; la Russia punterebbe a denigrare Biden e sarebbe
pro-Trump; l’Iran cercherebbe di diffondere divisione e disinformazione, con
particolare sfavore verso una rielezione dell’attuale presidente.
In generale il rischio sembra essere circoscritto a operazioni limitate di
hacks-and-leaks su singole figure legate alle campagne presidenziali (un po’
come accadde con la vicenda di Podesta). L’infrastruttura usata per le elezioni
risulta al sicuro. Almeno questo è quanto dichiarato da CISA, l’agenzia Usa per
la sicurezza dei dati e delle infrastrutture, secondo la quale non ci sono
segni di infiltrazione sui sistemi usati per registrare e conteggiare i voti (CNBC).
Intanto, sul fronte rischio disinformazione, Google e Twitter assicurano di
essere pronti a un giro di vite su affermazioni false legate al voto di
novembre, in particolare su quelle affermazioni che riporterebbero la vittoria
di una parte in anticipo rispetto alle conferme ufficiali. Il timore è che
l’utilizzo del voto via posta nelle elezioni americane potrebbe portare a dei
ritardi significativi nel conteggio dei risultati e questo potrebbe aprire un
varco per chi voglia diffondere falsità e confusione (BBC).
Tanto per non stare troppo tranquilli, alcuni esperti sul New York Times delineano alcuni degli
scenari peggiori che potrebbero accadere alle elezioni, da ransomware a
disinformazione fino alla debacle logistica del conteggio dei voti.
CENSURA
Dagli Usa alla Bielorussia con furore
Nelle contestate elezioni di agosto tenutesi in Bielorussia, il governo di
Minsk aveva temporaneamente bloccato l’accesso a una serie di piattaforme e di
siti, da Google a YouTube, da Twitter a Facebook, inclusi siti di notizie come
la CNN e la BBC.
Secondo Bloomberg, il blocco sarebbe avvenuto
grazie all’uso di dispositivi di Deep Packet Inspection (DPI), di ispezione
profonda dei pacchetti, prodotti da una azienda americana, Sandvine, e ottenuti
dal National Traffic Exchange Center, che in Bielorussia gestisce le rete del
Paese, all’interno di un contratto da 2,5 milioni di dollari con un fornitore
russo, Jet Infosystems. In pratica il percorso sarebbe il seguente: Usa ->
Russia-> Bielorussia.
I sistemi di Deep Packet Inspection (DPI) permettono di monitorare e filtrare
il traffico internet, “ispezionando i contenuti di ogni pacchetto che è
trasmesso a un punto di ispezione, permettendo di filtrare malware o traffico
non desiderato, ma anche di monitorare in tempo reale le comunicazioni, e di
implementare blocchi mirati. Perciò la tecnologia DPI consente sia violazioni
della privacy sia censura di massa”, scrive l’associazione Access Now. “Questo è
stato documentato in molti Paesi, tra cui Etiopia, Kazakistan, Iran, Cina”.
Sandvine è un’azienda canadese acquistata nel 2017 dalla società di private
equity Francisco Partners, che l’ha poi fusa con Procera Networks. Francisco
Partners era già nel mirino di associazioni di diritti digitali quando era
proprietaria di NSO Group, il produttore di spyware israeliano. Così ora gruppi
di attivisti come Access Now tornano all’attacco e chiedono conto a Sandvine e
a Francisco Partners di queste vendite.
SORVEGLIANZA
Hotel spyware?
L’arresto di Paul Rusesabagina - l’uomo che ha ispirato il film Hotel
Rwanda - da parte del governo ruandese solleva anche domande sul possibile uso
di spyware da parte del Paese, scrive il Guardian. L’uomo sarebbe stato fermato
mentre si trovava a Dubai e secondo i famigliari rapito dalle autorità ruandesi
e fatto salire su un jet privato, con accuse legate al terrorismo. Le
circostanze misteriose del suo arresto hanno indotto altri dissidenti del Paese
a pensare che l’uomo sia stato sorvegliato elettronicamente. Più in generale il
governo Kagame era già stato accusato di utilizzare spyware per monitorare
critici e attivisti. “Nel 2019 almeno sei dissidenti connessi al Rwanda erano
stati avvisati da Whatsapp di essere stati target di uno spyware prodotto dalla
società israeliana NSO Group”.
Uno di questi era l’oppositore Faustin Rukundo, che vive in Uk, come avevo
scritto mesi fa raccontando dell’attacco a centinaia di utenti Whatsapp (ne avevo parlato qua).
SE VE LO ERAVATE PERSO
SNOWDEN
Quel programa di sorveglianza di massa era illegale, corte Usa dà ragione a
Snowden
Sette anni dopo la rivelazioni di Edward Snowden sulla stampa mondiale, una
corte d’appello americana ha stabilito che il programma di sorveglianza della
Nsa, l’Agenzia di sicurezza nazionale americana, era illegale (e inutile).
Stiamo parlando in particolare di quel programma (fra i tanti che emersero
dalle rivelazioni) che raccoglieva segretamente i metadati sulle telefonate di
tutti gli americani, ovvero chi chiama chi, quando, quanto ecc. Un tipo di dato
che rivela frequentazioni, grafi sociali, abitudini, e molte altre informazioni
private, incluse condizioni sanitarie (ci sono degli studi al riguardo come questo). Il programma fu poi in parte
riformato nel 2015, proprio a seguito del dibattito emerso, con l’USA Freedom
Act. - Ars Technica.
Il tweet di Snowden.
Scrive Simone Pieranni sul manifesto: “La
sentenza della corte d’appello americana, infatti, ha rafforzato e riabilitato
il ruolo di Snowden: secondo i giudici, con le sue rivelazioni l’ex analista
«ha provocato un dibattito pubblico significativo sull’opportunità della
sorveglianza di massa da parte del governo americano» (...) E ancora:
“Innanzitutto il testo della sentenza riabilita il ruolo di Snowden e sarebbe
bene ricordarlo. Edward Snowden, analista della Nsa, venuto a conoscenza del
piano di sorveglianza di massa da parte dell’agenzia tentò di denunciarne
l’esistenza attraverso canali istituzionali. Ignorato e senza ottenere alcun
riscontro, decise di passare all’azione solitaria, con l’aiuto del giornalista
Glenn Greenwald, di alcuni media che pubblicarono via via parte del materiale e
di WikiLeaks, senza la quale probabilmente Snowden oggi non sarebbe al sicuro,
per quanto esiliato, in Russia.
Anche a questo proposito è bene ricordare che Snowden accettò la proposta russa
– in mezzo ci fu una fuga a Hong Kong – dopo aver visto stracciato il proprio
passaporto americano, dopo accuse di tradimento da parte di mezzo mondo
politico americano e dopo il silenzio dei paesi europei che non offrirono alcun
sostegno al whistleblower, tacciato anzi di essere una talpa, una spia, quando
non un «amico di Putin» e come tale intenzionato a complicare la vita agli
Stati uniti”.
Commenta su Twitter l’avvocato Carlo
Blengino: “Sommessamente ricordo che in Italia i metadati sono raccolti per 6
(dico sei!) anni; Che non è previsto intervento giudice per loro acquisizione;
Che Servizi accedono a tutti i DataBase di tutti i concessionari; Non abbiamo
avuto uno #Snowden in IT, ma quanto a #sorveglianza…”
Più protezione contro sorveglianza intelligence, Consiglio d’Europa
rilancia la Convenzione 108 su protezione privacy
E proprio Snowden viene citato nelle prime righe di una nuova recente dichiarazione da parte del Consiglio
d’Europa (organizzazione di 47 Paesi che promuove la democrazia, da non
confondere col Consiglio europeo), in particolare dal commissario per la
protezione dei dati Jean-Philippe Walter, e dalla presidente della commissione
sulla Convenzione 108, Alessandra Pierucci. La dichiarazione chiede una
“migliore protezione per gli individui nel contesto del flusso di dati
internazionali e il bisogno di un controllo efficace e democratico sui servizi
di intelligence”.
Così esordisce: “Anni dopo le rivelazioni di Snowden che hanno portato alla
luce l’entità della sorveglianza di massa da parte delle autorità pubbliche, la
digitalizzazione delle nostre società è continuata a un ritmo veloce, tanto più
accelerato dalla corrente crisi sanitaria che ha richiesto a molti di noi di
lavorare, imparare e socializzare a distanza. (...). Alcune voci influenti
hanno chiesto, a seguito della decisione Schrems II [presa dalla Corte di
Giustizia Ue a luglio che ha riaffermato la necessità di garantire lo stesso
livello di protezione ai dati trasferiti fuori dall’Unione rispetto a quella
garantita dal GDPR, e ha affossato il Privacy Shield, l’accordo tra Ue e Usa,
ndr), un accordo internazionale legalmente vincolante sulla protezione della
privacy e dei dati personali. Questo strumento esiste: è la Convenzione 108+”.
Il + sta per emendata recentemente da un protocollo (ne parlava qua il nostro Garante).
Vedi anche: Ue: cosa prevede la sentenza Schrems II che invalida il Privacy
Shield - PolicyMakerMag
Intanto Facebook ha ricevuto l'ordine di non trasferire i dati degli
europei negli Stati Uniti. Il Garante della privacy irlandese prova a mettere
un blocco allo scambio di informazioni dopo la sentenza che interrompe lo
spostamento di dati tra le due sponde dell'Atlantico.
Wired Italia
WIKILEAKS
Estradizione di Assange, la posta in gioco per il giornalismo
Il 7 settembre Julian Assange si è presentato in un tribunale britannico
per opporsi all’estradizione negli Stati Uniti. Il fondatore di WikiLeaks è
accusato di 18 capi d’imputazione, inclusa la violazione della legge sullo
spionaggio, e se condannato rischia fino a 175 anni di carcere.
“Il tribunale esaminerà le accuse del Dipartimento di Giustizia degli Stati
Uniti secondo cui Assange avrebbe cospirato assieme all'analista
dell'intelligence dell'esercito americano Chelsea Manning con l’obiettivo di
violare una password che avrebbe dato loro accesso a informazioni riservate del
governo”, scrive Valigia Blu, ricordando che si
tratta di una password che non è mai stata violata in realtà (e i documenti
erano già stati prelevati).
Ma, come scrivevo in newsletter mesi fa,
nell’intenzione dell’accusa, “non conta che Assange abbia “craccato” la
password o meno, che Manning – la quale già aveva i documenti - abbia usato la
password o meno. Conta che ci fosse un accordo fra i due, che sarebbe
testimoniato da poche frasi buttate in chat. Chat che, per l’incriminazione,
rifletterebbero “il fatto che i due collaboravano sul rilascio pubblico e che
Assange attivamente spingeva per più materiali”.
Dunque la storia della password è l’appiglio a cui si attacca uno specifico
impianto accusatorio che presuppone un accordo tra Assange e le sue fonti per
ottenere documenti riservati, un Assange che procaccia leaks, che recluta
hacker. E infatti nell’incriminazione più recente, gli americani ampliano il
quadro, e lo “accusano di aver proprio “reclutato” hacker di Anonymous/Lulzsec
e altri ancora, con l’obiettivo di violare sistemi e ottenere documenti
riservati da organizzazioni governative” (come avevo scritto anche qua). Accuse che appaiono
un contorno per dare più sostanza alla vicenda della password, l’elemento
evidentemente più specifico (più forte), per così dire, di tutta
l’incriminazione.
L’assurdità di questo impianto è però sintetizzato dal giornalista James Ball,
che pur conoscendo bene Wikileaks (per un periodo ci ha lavorato, salvo poi
allontanarsi in modo molto critico) non può certo essere descritto come un suo
fan.
“Le autorità americane stanno cercando di inquadrare l’incriminazione di
Assange come hacking, in relazione al suo apparente stupido accordo per aiutare
Manning a ottenere (senza successo) la password di un altro analista dell’intelligence,
nel tentativo non di accedere a documenti extra ma di coprire le sue tracce
come fonte (di nuovo, senza successo). Un giornalista con esperienza saprebbe
che ciò va oltre l’etica giornalistica - e certe protezioni legali - ma punire
tale violazione con decenni di prigione non sembra certo commisurato”.
Il messaggio di Ball è inequivocabile: “Ora è il momento di difendere Assange,
anche se lui non ti piace”.
Il mondo dei media, accusato di essere stato indifferente sulla vicenda,
sta dunque iniziando timidamente a muoversi. Julian Assange non deve essere
estradato, ha dichiarato il sindacato nazionale dei
giornalisti in UK e Irlanda (NUJ). “Se verrà permessa questa estradizione, si
manderà un chiaro messaggio che giornalisti ed editori sono a rischio ogni
volta che il loro lavoro dia fastidio al governo americano. La libertà dei media
nel mondo farà un passo indietro se Assange è obbligato ad affrontate queste
accuse”.
“Se la Gran Bretagna capitola all’America di Trump, il diritto di pubblicare
materiali provenienti da leak nell’interesse pubblico potrebbe subire un colpo
devastante”, scrive il noto giornalista britannico
Peter Oborne.
“L’estradizione di Assange minerebbe alla base lo stato di diritto”, scrive un
accademico inglese su The Times.
Lunedì si riprende in tribunale - Guardian
INTERCETTAZIONI ITALIA
Nuova disciplina, nuove sale, nuovi trojan, ancora pochi paletti
È in vigore la nuova disciplina sulle intercettazioni, che tra le altre cose
legittima l’uso dei trojan (anche se, nota qualcuno, manca ancora il decreto
per la definizione dei loro requisiti tecnici). Sono stati investiti, sulle
intercettazioni in generale, 60 milioni di euro in infrastrutture, allestite
140 sale dedicate, comprati centinaia di server e pc.
Nello specifico: “Il Ministero ha allestito 140 sale Centro Intercettazioni
Telecomunicazioni (CIT) con rete dedicata e cablaggio e dotazione dedicata di
Pc portatili. In ogni sala CIT è stato inoltre installato il server
ministeriale e realizzato il software per la gestione dell'archivio digitale
multimediale e per l'archivio documentale; 60 milioni di euro sono gli
investimenti già spesi per le infrastrutture tecnologiche, per le opere murarie
e per gli acquisti necessari; 700 i server e i rack dedicati alle sole
intercettazioni; oltre 1100 i PC dedicati e destinati alle sale d'ascolto;
circa 3.500 le persone coinvolte nella formazione specifica (personale
amministrativo, magistrati e polizia giudiziaria)”, scrive Il Sole 24 Ore.
Sui trojan: “Dopo 4 proroghe è in pieno vigore la legge sulle
intercettazioni telefoniche (Decreto legislativo n. 216/2017, poi
modificato dal Decreto Legge n. 161/2019 convertito
in Legge n. 7/2020), che legittima l’uso dei
trojan. Ma manca ancora (art. 2, commi 3-6) il decreto del Ministro della
giustizia per la definizione dei requisiti tecnici dei programmi informatici
funzionali alle intercettazioni mediante trojan, software che dovranno avere
caratteristiche tali da garantire affidabilità, sicurezza ed efficacia; dei
criteri cui i titolari degli uffici di procura dovranno uniformarsi per
regolare l'accesso all'archivio da parte dei difensori e degli altri titolari
del diritto di accesso; e delle modalità e termini di informatizzazione di
tutte le attività di deposito e di trasmissione relative alle intercettazioni.
Insomma, data la invasività di questo strumento di indagine, manca un tassello
fondamentale per garantirne l’utilizzo pienamente legittimato”, scrive Altalex.
Molto critico sulla nuova disciplina l’avvocato Eriberto Rosso, segretario
dell’Unione delle Camere penali: “In materia di intercettazioni, la partita
doveva giocarsi non solo sulle modalità di gestione dei dati – è comunque
inquietante che per una parte del procedimento la gestione sia in mano a
società private, con ogni conseguente considerazione in materia di sicurezza e
segretezza – ma sui presupposti sostanziali che autorizzano il ricorso ad uno
strumento così invasivo. Su questo piano il nostro Legislatore ha perso
un’importante occasione per dare un equilibrio conforme alla Costituzione ai
diritti in gioco. Resta comunque inaccettabile ed incompatibile con il
principio della parità delle parti nel processo che sia riservata al pubblico
ministero l’individuazione del termine, previsto dall’art. 268 comma 4 c.p.p.,
entro il quale il difensore può esaminare le risultanze e la documentazione
inerente l’attività di intercettazione” - Il Riformista
Inchiesta Lega, un trojan nel cellulare dei commercialisti
La procura di Milano ha inserito un software spia nel telefonino di Michele
Scillieri, revisore del partito. Intercettando ogni incontro, anche nella sede
di via Bellerio, scrive Repubblica (paywall)
APP DI TRACCIAMENTO CONTATTI
A che punto siamo in Italia con Immuni?
(Iniziamo a piccoli passi per volta….. Per i nuovi iscritti: in archivio trovate tanti numeri della
newsletter dedicati a Immuni, se volete ripercorrerne la storia)
- “I download sono a quota 5,5 milioni, 9,9 per cento della popolazione (al
lordo però di disinstallazioni e di installazioni da parte dello stesso utente
su più cellulari)”, scrive Il Sole 24 Ore, facendo il punto sugli ultimi
numeri, le luci e le ombre di Immuni, l’app italiana per il tracciamento dei
contatti nel contrasto al Covid-19, e aggiungendo come sulla sua diffusione
pesino diversi fattori, tra cui una sfiducia generale da parte dei cittadini
nei confronti della capacità di coordinamento complessivo delle autorità
sanitarie.
Anche Wired si concentra sull’analisi dei dati,
e traccia pure una mappa della diffusione regionale di Immuni che, partendo dal
dato del ministero della Salute, stimi quante persone mancano all’appello per
tagliare il traguardo del 15% raccomandato dall’università di Oxford. I più
vicini sono Valle d’Aosta, provincia di Bolzano e la vicina Trento. I più
distanti sono Sicilia, Campania e, ultima, la Lombardia.
- “Immuni, cos’è e come funziona l’app italiana contro il coronavirus” - Agenda Digitale
Postilla: Forse avrete sentito che alcuni ricercatori di sicurezza
“hanno scoperto un bug nel sistema Apple-Google per il tracciamento Covid-19
che potrebbe avere impatti sulla privacy degli utenti e sulla sicurezza dei
loro dati. Ricordiamo che è il sistema alla base anche di Immuni”, come ricorda Cybersecurity360.
Ma il rischio per gli utenti, scrive lo stesso articolo (e vari altri esperti concordano), è piuttosto basso. Il tema è
semmai qua l’apertura del codice nel caso del framework usato (Apple-Google).
Riassumendo: non è questo bug la ragione per non installare Immuni.
Più in generale, come si sono comportati i vari Stati nell’adozione di
tecnologie, e in particolare di sistemi di decisioni automatizzate (ADM), per
contrastare l’emergenza Covid-19?
Per una visione globale, in termini geografici e tecnologici (gli strumenti
presi in considerazione vanno dalle app di tracciamento contatti ai
braccialetti elettronici), rimando a questo report di Algorithm Watch & Bertelsmann Stiftung.
5G ITALIA
I Comuni continuano a bloccare il 5G anche dopo il divieto del governo
Nonostante il decreto Semplificazioni impedisca ai sindaci di vietare le reti
5G, proseguono le ordinanze contro. Con rischi sui tempi e spese legali per gli
annullamenti
Wired
APPROFONDIMENTI
CYBER SPACEFORCE
L’amministrazione Trump ha rilasciato la sua quinta Space Policy Directive, con una serie di best
practices per l’industria spaziale su come proteggersi da minacce cyber (sì,
pure lì). Al solito, il punto è pensare a una progettazione sicura fin
dall’inizio. Le aree interessate sono i canali di comunicazione, il rischio di
jamming o spoofing ma anche la sicurezza di funzioni critiche dei velivoli.
(via The Verge).
CYBER COMMAND E IL PERSISTENT ENGAGEMENT
Intanto il generale Nakasone, capo della NSA e del Cyber Command, spiega su Foreign Affairs come il Cyber
Command implementi la strategia detta defend forward (il contrasto proattivo di
attività cyber malevole avversarie, in modo tale da interromperle o degradarle
e infliggere loro costi operativi). E come parte di questa strategia sia la
dottrina del persistent engagement. Ovvero l’idea che il Cyber Command non deve
prepararsi per il grande attacco ipotetico del futuro, ma competere con gli
avversari giorno per giorno.
Nakasone non lo dice ma l’effetto è quello di una guerriglia persistente fra
avversari, una guerra di posizione che spesso appare lontana e silenziosa
(salvo esplodere a tratti, e apparentemente all’improvviso).
VACCINI E HACKER
Cosa è l’operazione Warp Speed, lo sforzo del Pentagono e della Nsa per aiutare
le industrie farmaceutiche a proteggersi meglio dal rischio di cyberintrusioni
- Cyberscoop
FINTECH
La storia di come un giornalista finanziario ha smascherato Wirecard (in
inglese)
FT
CYBERCRIME
Come Tesla ha sventato un attacco ransomware organizzato da una gang che ha
cercato di entrare nei suoi sistemi corrompendo un suo dipendente (senza
riuscirci) – vicenda folle, in inglese su Electrek
CYBERSPAZIO
Parlare della fine del mondo con William Gibson - Rivista Studio
AI E LINGUAGGIO
Leggete questo articolo (inglese). È stato scritto da
GPT-3, un generatore di linguaggio di OpenAI. Usa machine learning, delle
istruzioni e un testo introduttivo e tenta di completarlo con un testo. Il
Guardian, in un’operazione un po’ furbesca a mio avviso, ha messo insieme il
meglio di diversi testi generati sulla base delle stesse indicazioni
nell’articolo finale che potete leggere. Ognuno può valutare quanto sia
avanzato o meno.
La cosa interessante è che non solo ha fatto scaturire un dibattito sullo stato
di avanzamento dell’AI ma anche sull’hype prodotta al riguardo. In pratica c’è
chi ha paragonato l’operazione a qualcuno che “ritagli alcune frasi dalle
ultime mail di spam ricevute, le metta assieme, e sostenga che gli spammer
hanno composto l’Amleto”, come rileva Next Web in una critica al pezzo
del Guardian.
DOCUMENTARI
Segnalo The Social Dilemma, il nuovo documentario Netflix sull’impatto dei
social media sulla società (segnalo ma non ho ancora avuto modo di vederlo).
Qui una recensione sul NYT…
Nessun commento:
Posta un commento