Guerre di Rete - una newsletter di notizie cyber

a cura di Carola Frediani Numero 34 - ​12 maggio 2019

Oggi si parla di: - exploit della NSA e cinesi - hacker bombardati - mail di avvocati e leak - della dimensione del Dark Web - di censure e “fake news” - di altro

HACKER DI STATO Anche gli hacker cinesi hanno usato gli exploit della NSA Vi ricordate gli Shadow Brokers? No? Facciamo un ripasso. A partire dall'agosto 2016 era comparsa online una misteriosa entità di nome The Shadow Brokers, che diceva di aver violato l'arsenale digitale della NSA, l'Agenzia di sicurezza nazionale americana, rubandone strumenti di attacco informatico, exploit e via dicendo. Gli strumenti erano veri, appartenevano all'unità offensiva della NSA (all'epoca chiamata TAO), ma gli Shadow Brokers preferivano chiamarla The Equation Group, dal nome dato dalla società di antivirus Kaspersky a un gruppo avanzato di hacker occidentali (i ricercatori danno spesso dei nomi fittizi ad hacker statali anche per evitare di dover accusare direttamente uno Stato e finire nella mischia di lotte geopolitiche; poi in realtà ci finiscono lo stesso, ma questa è un'altra storia).

Ad ogni modo, questi bizzarri e strani Shadow Brokers (che ancora non sappiamo chi siano) si erano messi progressivamente a vendere online o a diffondere alcuni di questi strumenti di Equation Group (ovvero dell'americana NSA) tra cui degli exploit, degli attacchi che sfruttavano varie vulnerabilità di Windows. Il leak di alcuni di questi strumenti più potenti avvenne nell'aprile 2017. Un mese dopo quegli attacchi furono incorporati da hacker di Stato nordcoreani in un ransomware, un virus del riscatto, dannosissimo e virale, Wannacry. Che mandò in tilt aziende in tutto il mondo, incluso il sistema sanitario inglese. Quelle stesse vulnerabilità - benché Microsoft avesse rilasciato delle patch, delle pezze correttive, già a marzo 2017 - furono anche usate da hacker russi in Ucraina nel giugno 2017, in quella che poi divenne una infezione globale ancora più devastante e distruttiva, NotPetya. Riassuntino? 2016: i misteriosi Shadow Brokers dicono di avere le cyberarmi della NSA e le diffondono nel 2017 dopo vari tira e molla; maggio 2017: hacker nordcoreani le usano per fare soldi e fanno un casino (Wannacry); giugno 2017: i russi le usano per la loro cyberguerriglia in Ucraina e fanno un casino (NotPetya). Bene, ora chi manca all'appello in tutto questo cyber delirio geopolitico? Ma i cinesi ovviamente! Ed eccoli entrare in scena venendo quindi alla notizia di questi giorni.

Secondo una ricerca della società di sicurezza Symantec, ripresa e approfondita da un pezzo del NYT a sei mani, prima ancora degli Shadow Brokers, hacker cinesi avrebbero usato gli strumenti di attacco della NSA per violare aziende private in Europa e Asia, oltre che alleati americani. Secondo il Times, sarebbe l'ulteriore dimostrazione che gli americani avevano perso il controllo di una parte del loro arsenale digitale. Symantec non nomina la Cina nella sua ricerca, ma identifica un gruppo, che chiama Buckeye (altri lo chiamano APT3), che altre società di cybersicurezza e il Dipartimento di Giustizia americano considerano un contractor di Guangzhou dell'agenzia di controspionaggio e intelligence estera cinese (Ministry of State Security). Un gruppo che in passato avrebbe fatto spionaggio sull'industria della difesa, aerospaziale, e nucleare (e tre hacker cinesi associati a questa entità e a una azienda fittizia sono stati pure incriminati dagli americani nel 2017). Ora hacker di questo gruppo non avrebbero rubato direttamente il codice della NSA ma lo avrebbero ricostruito, ricavato da un attacco subito da uno dei loro computer, scrive il Times. Insomma l'origine sarebbe diversa rispetto agli Shadow Brokers (che sembrano aver proprio ottenuto direttamente, da un insider o con una violazione informatica, le “cyberarmi” americane). In realtà non è chiarissimo come i cinesi abbiano davvero ricavato questi strumenti e la stessa Symantec non sembra saperlo con certezza; ritiene però che siano stati ricostruiti in seguito a un attacco subito, come si diceva prima, e poi riadattati per penetrare nelle reti di organizzazioni di almeno 5 Paesi - Belgio, Lussemburgo, Vietnam, Filippine e Hong Kong - inclusa una compagnia telco. Come riassume perfettamente MalwareTech:"A quanto pare la NSA ha provato ad hackerare sistemi cinesi con un (exploit) zeroday [cioè un attacco che sfrutta una vulnerabilità sconosciuta, nda], ma l'intelligence cinese lo ha intercettato e usato invece contro alleati americani". Infine, la ricerca nota che gli strumenti di Buckeye sono stati ancora usati dopo la fine delle attività di quel gruppo, apparentemente scomparso nel 2017. Forse sono stati passati ad altri? A questo punto converrebbe chiedersi chi non ha avuto in mano gli exploit americani... La vicenda rilancia il tema della proliferazione di strumenti di attacco e della difficoltà di contenerli, col rischio che cadano in mani sbagliate. Anche se ci sono noti ricercatori di sicurezza - come Robert Lee, un passato alla NSA - che contestano la ricostruzione del Times per cui la Nsa avrebbe qualche colpa, almeno in questo specifico caso. "Se vogliamo arrabbiarci con la NSA per il fatto di aver realizzato un exploit che un avversario ha visto durante una intrusione e da cui ha imparato, e vogliamo vederlo come un esempio di "perdere controllo delle armi", allora dovremmo argomentare che nessuno dovrebbe fare exploit perché possono essere tutti persi in quel modo", scrive Lee. Che, come dire, è una conclusione interessante. Per un noto crittografo, Matt Blaze, “gli exploit sono in effetti armi segrete con tutto ciò che implica: una volta usate, non restano segrete per molto (specie quando usate contro target sofisticati). Una volta che ciò accade, la sola policy ragionevole è di rivelare/mettere a posto la vulnerabilità sottostante” (tweet). Per i tecnici: ci sono molte sfumature non chiarissime, che qui ho semplificato, leggetevi il report Symantec

GUERRA (SENZA CYBER) Israele bombarda gli hacker di Hamas. E ora? Con un tweet più agghiacciante ancora del video che mostra l'incursione aerea (VIDEO), Israele ha annunciato di aver bombardato un edificio nella striscia di Gaza che ospitava hacker di Hamas, i quali sarebbero stati sul punto di lanciare un cyberattacco contro Israele. "Abbiamo sventato il tentativo di una cyberoffensiva da parte di Hamas", ha twittato l'Israel Defence Force (IDF), l'esercito israeliano. "Dopo il successo della nostra operazione cyber difensiva, abbiamo colpito un edificio dove lavorano i cyber operativi di Hamas. HamasCyberHW.exe è stato rimosso", conclude ironizzando il tweet, in quello che Foreign Policy definisce “un macabro tentativo di scherzo”. Perché non è un virus (.exe) quello che è stato rimosso, ma un edificio con della gente dentro (ci sono dei morti? quanti? erano stati avvisati prima del raid per evacuare l'edificio? c'erano civili nei paraggi o nello stesso edificio? e chi erano questi cyber operativi di Hamas e come erano inquadrati in Hamas? e qual era il cyberattacco che stavano per fare? Non ho trovato risposte a queste domande ma quel che è peggio nemmeno le domande). "Siamo stati davanti a loro tutto il tempo. Appena hanno provato a fare qualcosa hanno fallito", ha dichiarato il capo della divisione cyber difensiva dell'IDF. In pratica, gli israeliani (nell'operazione è coinvolta anche l'intelligence interna, lo Shin Bet, e l’unità 8200, una sorta di Nsa israeliana) dicono di aver prima fermato l'offensiva online, e poi di essere passati all'incursione aerea.

Siamo di fronte a un passaggio epocale, notano molti osservatori. La risposta fisica e apparentemente immediata di Israele a un cyberattacco di Hamas è un punto di svolta della cyberwarfare. Ancora in certi circoli si sta a discutere dell'opportunità di fare hack-back (“hackerare” di rimando qualcuno che ti “hackera”) e del rischio di escalation, e qui siamo già di fronte a un bomb-back (Zdnet). Sembra essere la prima volta che i militari di uno Stato hanno risposto in tempo reale a un cyberattacco con la forza fisica, scrive Foreign Policy. Certo, c'è chi puntualizza: in questo caso c'era già un conflitto fisico in atto (vedi Stefano Mele su Formiche e anche la stessa Foreign Policy o Wired Usa e ancora Lawfare blog). Non solo: gli hacker di Hamas sembrano essere equiparati a terroristi, e il loro bombardamento sembra essere parte di una serie di bombardamenti su target “collegati ai gruppi terroristi”, per un totale di 14 morti palestinesi, “quasi tutti membri delle cellule che lanciavano razzi”, scrive Times of Israel. Gli hacker di Hamas rientrano in questi 14? In quel “quasi”? (sarebbero 23 i morti per AlAraby tra cui anche civili). C'è chi ricorda un precedente: quello di Junaid Hussain, l'hacker britannico arruolato nell'Isis in Siria che gestiva le operazioni cyber del Califfato e che è stato ucciso con un drone in un'operazione angloamericana nell'agosto 2015 nei pressi di Raqqah (e anche un secondo caso, come mi ha ricordato Gianluca Varisco, quello di un altro hacker britannico del Califfato, Siful Haque Sujan, ucciso in modo analogo sempre a Raqqah nel dicembre 2015). Hussain è il primo hacker a essere considerato una tale minaccia da essere ucciso da uno Stato occidentale (con un drone), nota il Combating Terrorism Center. E tuttavia in quei casi, pur molto controversi, la motivazione principale addotta dietro all'uccisione via drone era legata al loro ruolo di reclutatori dell'Isis - e in particolare Hussain era stato accusato di dirigere e orchestrare attentati (e non solo cyberincursioni) su suolo americano e britannico (vedi comunicato del dipartimento della Difesa Usa e per una analisi di questo aspetto e delle attività di Hussain vedi il report del Combating Terrorism Centre del 2017) E infatti, quando il governo inglese ha dovuto giustificarsi per questa esecuzione extragiudiziale, ha invocato il diritto all'autodifesa dell'UK a fronte di una minaccia imminente interna di attacchi terroristici (The interpreter). Pure, all'epoca non sono mancate critiche e azioni legali contro questa interpretazione a maglie larghe del diritto di autodifesa, così come contro le kill lists segrete con cui da tempo sono fatti fuori terroristi o presunti tali (vedi archivio Guardian).

Tutto questo per dire che l'azione israeliana contro gli hacker di Hamas ha molti elementi di novità, soprattutto per come è stata presentata. E potrebbe aprire la strada a escalation fisiche di attacchi cyber. "A sentire l'annuncio sembra che il potenziale cyberattacco sia stato sventato usando mezzi tecnici", ha commentato su Zdnet il ricercatore Lukasz Olejnik. "Questo farà interrogare gli analisti su quale sarebbe stato il punto e la giustificazione dell'uso della forza. (...). Certo, stiamo parlando di un conflitto che era già in corso. (...) Nessuno stratega sano di mente considererebbe una risposta armata a una attività cyber di basso impatto se non sei già coinvolto in un conflitto". Che tipo di cyberattacco faceva o stava per fare Hamas? Non lo sappiamo, non è stato detto. Tuttavia secondo alcuni analisti, le capacità hacker del gruppo non sarebbero così avanzate. Nulla di alto livello fino ad oggi: attacchi a cellulari di soldati con malware Android (qui lo studio), violazione di siti, mail di phishing, profili finti sui social per spillare info da soldati israeliani (Cyberscoop). E poi qualche drone intercettato (Catalin Cimpanu). Per capire qualcosa di più degli hacker di Hamas ho chiesto chiarimenti a Eyal Sela, a capo della divisione di threat intelligence della società ClearSky Cyber Security, che li ha studiati, scrivendo alcuni dei report citati in queste righe. “Non sappiamo con certezza la loro affiliazione”, spiega Sela a Guerre di Rete. “Negli anni l’esercito israeliano (IDF) ha sostenuto che fossero parte di Hamas, per cui tenderei ad assumere che non siano solo contractor. Inoltre non abbiamo prove di loro capacità molto avanzate. Tuttavia non hai bisogno di capacità speciali per interrompere il funzionamento di sistemi critici connessi a internet”. L’unica traccia di attacco più consistente di cui sono sospettati gli hacker di Gaza – in particolare un gruppo, i Gaza Hacker Team o Molerats – è quando nel 2017 avrebbero provato a violare il più grande fornitore di elettricità in Israele, l’Israel Electric Company (senza riuscirci, mostrando comunque un basso livello di sofisticazione, e anche l’attribuzione per altro non era di ferro, vedi primo e secondo report). Questi tentativi sembravano essere ancora attivi nell’ottobre 2018 (tweet). Potrebbe essere un tentativo come questo ad aver fatto dire all’IDF che il cyberattacco provato o progettato da Hamas aveva l’obiettivo di “danneggiare la qualità della vita dei cittadini israeliani”? Tornando però alle implicazioni della vicenda, segnalo l’analisi della ricercatrice dell’istituto ASPI Elise Thomas, che non solo ha le stesse riserve sopra espresse sulla veridicità e coerenza della narrativa legata all’episodio (l’edificio bombardato era stato forse già individuato da tempo dagli israeliani in una lista di bersagli di Hamas? in pratica l’operazione apparente di reazione immediata a un cyberattacco non sarà più un’azione propagandistica?), ma ritiene comunque la stessa narrativa deleteria. Perché “ha creato almeno in apparenza un precedente per un uso immediato della forza su un target almeno parzialmente civile in risposta a un cyberattacco già sventato - in altre parole, una risposta violenta in una situazione in cui non c’era nemmeno una cyber minaccia corrente. E quale che sia la verità, se tale narrativa permane, questo apparente precedente potrebbe avere conseguenze durature per futuri utilizzi della forza nella cyberguerriglia”. Per approfondire su Junaid Hussain (Counterextremism e CTC).

USA Analista dell’intelligence accusato di aver passato info sui droni ai media A proposito di uccisioni coi droni. Un ex analista dell’intelligence americana, Daniel Hale, 31 anni, accusato di aver passato a The Intercept dei documenti governativi top secret sull’uso di droni in operazioni di combattimento e uccisioni, nel 2014, rischia ora fino a 50 anni di carcere sotto l’Espionage Act. Per il noto giornalista investigativo James Risen, l’incriminazione di Hale è “un abuso dell’Espionage Act per criminalizzare il lavoro giornalistico”, “colpendo proprio le persone che cercano con fatica di accertare le responsabilità del governo in abusi e di proteggere la democrazia”. L’Espionage Act è la draconiana legge sullo spionaggio che risale al 1917, e che è stata usata anche contro Chelsea Manning così come, più recentemente, contro un’altra whistleblower, Reality Winner, la quale aveva passato documenti proprio a The Intercept. La testata The Register ricorda che Hale sarebbe la terza fonte di The Intercept a essere stata individuata e incriminata dal governo Usa per il leak di informazioni riservate. Le altre due sono la già citata Reality WInner - contractor Nsa che aveva passato documenti sulle interferenze russe nelle elezioni - e Terry Albury - agente FBI che ha passato documenti interni per denunciare il razzismo dell’agenzia - condannati rispettivamente a 5 e 4 anni di prigione. Proteggere una fonte a questi livelli è ormai una operazione sempre più difficile e complessa. Purtroppo nel caso di Hale sembra esserci stato più di un errore. Le autorità hanno trovato i documenti (che l’uomo aveva cancellato ma non in modo definitivo) su una sua chiavetta; hanno avuto accesso a conversazioni telefoniche tra l’uomo e il giornalista. Quel che è peggio, Hale compare insieme al giornalista di The Intercept su un palco a un evento pubblico tempo prima del leak, nel 2013, e il suo nome di battesimo è presente in un documentario del 2016 che parla di questi stessi temi. DailyDot

Manning è libera (per ora) A proposito di Chelsea Manning (oggi questa newsletter ha adottato un nuovo format giornalistico, la matrioska), la fonte di alcune delle rivelazioni più importanti di Wikileaks è infine uscita dal carcere, dove era finita di nuovo “con l'accusa di oltraggio alla Corte, perché si è rifiutata di testimoniare davanti a un gran giurì su Wikileaks. Ma la sua libertà potrebbe durare poco, avvertono i suoi avvocati, perché è già stata raggiunta da un nuovo ordine di comparizione, verosimilmente per il 16 maggio. Manning aveva già scontato 7 anni della sua sentenza di 35, prima di essere graziata dall'ex presidente Barack Obama”, scrive Repubblica. Ascoltate le motivazioni di Chelsea direttamente da lei, e quanto sta rischiando, con questo video che ha filmato all’uscita di prigione. “Non coopererò con questo o altri grand jury”.

CYBERSICUREZZA ITALIA Le mail degli avvocati e la cybersicurezza delle istituzioni italiane I gruppi di hacktivisti Lulzec Ita e Anonymous nei giorni scorsi hanno diffuso, tra le altre cose, i dati di accesso alla posta elettronica certificata di 30mila avvocati iscritti all’Ordine di Roma (Wired e Repubblica). Oltre a ciò, ci sarebbero anche i dati di accesso al sito Visura.it, scrive Open, (vedi anche il manifesto). Siamo di fronte a un problema di sicurezza grave – ha scritto Matteo Flora, fondatore di The Fool – perché “per ore, per decine di ore, milioni di persone in giro per il mondo hanno avuto potenzialmente accesso a queste mail e hanno potuto non solo entrare ma anche programmaticamente scaricare tutto quello che vi era contenuto”. “Io vedo in particolare due ordini di problemi”, commenta a Guerre di Rete il professore di informatica giuridica Giovanni Ziccardi (autore del recente saggio Tecnologie per il potere). “Il primo è un problema di cultura della sicurezza in capo al singolo professionista, e per cultura della sicurezza intendo anche, banalmente, la scelta della password o dei sistemi di autenticazione. Il secondo problema è la delocalizzazione, o outsourcing, di servizi critici e la centralizzazione degli stessi, per cui grande attenzione deve essere dedicata alla sicurezza e alle misure di protezione di chi riceve i dati. Gli eventi delle scorse settimane hanno continuato (e confermato) un trend a mio avviso molto preoccupante che dura da alcuni anni ma che sta crescendo in maniera molto evidente. Mi riferisco, in particolare, ai data breach che hanno riguardato negli scorsi mesi il Movimento 5 Stelle e la sua piattaforma Rousseau, al data breach che ha colpito Unicredit e che è stato oggetto di un provvedimento del Garante italiano di poche settimane fa, alla fuga di dati correlati al captatore informatico nel caso Exodus (con osservazioni del Garante italiano su un possibile problema di sorveglianza di massa) e ai casi recenti della PEC, degli Ordini degli Avvocati e di numerosi altri attacchi, più o meno gravi. Il trend è a mio avviso correlato a una sempre maggiore difficoltà di proteggere i dati nell’era di accumulo di grandi quantitativi di informazioni e di centralizzazione, spesso, dei servizi critici. L’impressione è che l’attenzione alla sicurezza non proceda allo stesso passo dell’ampliamento dei servizi, e allora non stupiscono affatto attacchi che in maniera apparentemente semplice riescono a carpire dati e a entrare nei sistemi. I fatti che hanno riguardato gli ordini degli avvocati e i gestori di servizi dell’avvocatura hanno poi dimostrato come anche in un settore come quello legale l’attenzione, nonostante l’avvento del GDPR, sia ancora molto bassa”. Ascolta anche il podcast Data breach, password esposte e Consigli dell’Ordine: una conversazione con Fabrizio Sigillò su avvocatura e sicurezza.

(DIS)ORDINE PUBBLICO Che succede agli account social della Polizia? La campagna informativa contro il bullismo e per stare sicuri in Rete che è organizzata da tempo dalla polizia nelle scuole sembra ora platealmente contraddetta dalla gestione dei social da parte della stessa. “Che sta succedendo all'account Twitter della Polizia di stato?”, si chiede Wired. Dalla risposta “non convenzionale” a Saviano al video di Manduria, sui social la Polizia sembra andare a briglia sciolta. E crescono le polemiche (qui lo scambio su Twitter fra Saviano e l'account dellla Polizia)- Vedi anche: Il video su Manduria scatena un’ondata di odio sui social. La polizia si rifiuta di rispondere alle nostre domande - Valigia Blu (Arianna Ciccone) Sabato sul Corriere il capo della Polizia Franco Gabrielli ha poi fatto alcune precisazioni, anche sulla risposta a Saviano, che rivendica. Dice infatti: “Quel tweet non appartiene a un funzionario anonimo sfuggito al controllo dell’amministrazione, ma è stato sollecitato e autorizzato. Se devo dire qualcosa lo faccio in maniera chiara e diretta, senza infingimenti o ipocrisie. Non a caso nella risposta abbiamo specificato che ‘chi sbaglia paga nelle forme prescritte dalla legge’, riferendoci all’eventuale comportamento illegittimo del singolo poliziotto”. via Fanpage La deriva della Polizia di Stato è un vero e proprio salto carpiato, scrive Stefano Epifani su Techeconomy, per il quale la pezza giustificativa è peggiore del buco.

SOCIAL E NOVAX Instagram blocca hashtag novax Instagram inizierà a nascondere risultati di ricerca per quegli hashtag collegati in modo sistematico a informazioni riconosciute come false sui vaccini, ha fatto sapere la stessa azienda. Per informazioni riconosciute come false Instagram si riferisce a ciò che sia stato verificato dall’Organizzazione Mondiale della Sanità, dal Centers for Disease Control, e da altre organizzazioni di questo tipo. Altri post novax su cui non ci sia conferma ufficiale in merito a falsità presenti nei contenuti rimarranno. L’azienda userà il machine learning per individuare hashtag associati a post con informazioni bollate come false in base alla precedente descrizione. Non è chiara la soglia di “falsità” associata a un hashtag che potrebbe portarne al blocco. The Verge

FAKE NEWS, REAL CENSORSHIP Le legge censoria di Singapore per contrastare le “fake news” - di cui avevo scritto in una precedente newsletter - è peggio di quello che sembrava (e già sembrava pessima). Il potere di intervento del governo per “correggere” o “rimuovere” informazioni ritenute false se c’è di mezzo un presunto interesse pubblico si estende, oltre che sui media, anche ai social media e - ma non si capisce come - a gruppi e chat private. Si teme possa essere un precedente per l’Asia, dove già Vietnam e Thailandia hanno passato delle leggi sulla cybersicurezza dall’impronta autoritaria. TechCrunch La condanna del Commettee to protect journalists.

PRIVATE INTELLIGENCE Dimostranti spiati da società privata Una società privata della Virginia, la LookingGlass Cyber Solutions, in vista delle manifestazioni organizzate da attivisti e semplici cittadini contro la politica delle separazioni famigliari di migranti (inclusi i bambini tolti ai genitori), che la scorsa estate negli Usa aveva provocato proteste e sdegno, ha monitorato più di 660 di queste dimostrazioni programmate nel Paese, raccogliendo informazioni dai social e condividendole con il Dipartimento di sicurezza nazionale. Che ora dice, quelle informazioni, di non averle mai richieste. L’ennesimo piccolo squarcio sull’uso e abuso di aziende private per operazioni di intelligence da parte dei governi. The Intercept

PRIVACY Smart locks, no grazie Un giudice ha ordinato ai proprietari di alcuni appartamenti a New York di fornire le chiavi fisiche ai loro inquilini che non vogliono usare smart lock, principalmente per ragioni di privacy. La app collegata al dispositivo per aprire la porta raccoglieva i dati di posizione delle persone, denunciano gli inquilini (Cnet). Ma era lo stesso utilizzo di smart locks (anche solo coi codici) a raccogliere preoccupazioni, per il potere che conferirebbero ai padroni. Tanto che qualcuno sta pensando a come regolamentare il loro utilizzo (archivio Cnet).

CINA SMART CITY Un assaggio di distopia A causa di una falla di sicurezza un ricercatore ha avuto accesso a un database di un sistema di sorveglianza integrato in una tecnologia per smart city, che include un sistema di riconoscimento facciale e di localizzazione delle persone, gestito da una società privata in Cina, e collocato in una specifica, ristretta area di Beijing. Il sistema ha una serie di punti di raccolta di dati, tra cui videocamere con riconoscimento facciale. “I dati esposti contengono abbastanza informazioni da individuare dove le persone sono andate, quando, e per quanto tempo, permettendo a chiunque abbia accesso ai dati - tra cui la polizia - di farsi una immagine della vita quotidiana di una persona”, scrive TechCrunch. Il riconoscimento facciale stabilisce un’età approssimativa delle persone riprese e l’appartenenza etnica, ed è collegato al database della polizia per riconoscere specifici soggetti. A tutto ciò si aggiungono dei sensori che raccolgono i dati dei cellulari con Wi-Fi abilitato e identificano i loro proprietari.

DARKWEB Basta con l’iceberg! Una ricerca di Recorded Future dice qualcosa che io stessa avevo sottolineato più volte in articoli e conferenze quando mi sono occupata di darknet e Dark Web. Il cosiddetto Dark Web è una realtà limitata e circoscritta, una realtà piccola, molto più piccola di come normalmente viene presentata. Avete presente il famoso iceberg in cui la punta è il web di superficie, in chiaro, quello frequentato da tutti, e sotto c’è un’enorme parte sommersa che sarebbe il Dark Web? È sbagliato e andrebbe ribaltato. Il web di superficie, emerso, è la parte grossa e prevalente, e la parte sommersa, il Dark Web, è quella più piccola. Questo era chiaro da tempo per chi studiava le darknet e il Dark Web (che è la definizione semplicistica e giornalistica per definire i siti web presenti nelle darknet e raggiungibili solo con certi software, come Tor), e per chi ne analizzava e conteggiava i domini (che terminano in .onion), ma ora finalmente una nota società specializzata in cyber intelligence lo dice forte e chiaro. E ribalta pure l’iceberg che dicevamo.

In particolare, Recorded Future ha trovato 55,828 domini .onion diversi di cui solo 8416 erano attivi durante la ricognizione. “La nostra ricerca smentisce la falsa credenza che la relazione tra web di superficie e Dark Web abbia la forma di un iceberg, con il web di superficie che sarebbe una piccola proporzione del WWW e il Dark Web sotto la superficie visibile che sarebbe la maggioranza. La verità è che l’iceberg va ribaltato”. Qui permettetemi una ola. Ma proseguiamo. Chiarito che i siti .onion sono solo lo 0,005 per cento del WWW, Recorded Future ribadisce che l’ambiente del Dark Web è disorganizzato e inaffidabile, pieno di attacchi e scam, truffe (tra cui il typosquatting, siti che si fingono altri), che la lingua principale è l’inglese (86 per cento dei siti), che solo una manciata di siti del Dark Web sono all’altezza della reputazione (cattiva) di questo ambiente - si tratta dei principali siti criminali, che hanno in effetti meno visibilità e accesso ristretto, e che possono essere di valore per chi fa ricerca sulle minacce (threat research). Per approfondire: Deep Web, going beneath the surface (un mio vecchio articolo in inglese per UNICRI) Qui invece (sul sito Semplicecome) spiegavo questi termini e questo ambiente in modo ultra-semplice: “Il fatto è che i due termini – Deep e Dark Web – sono usati in modo intercambiabile per indicare proprio la parte anonima della Rete dai media ma anche dagli stessi addetti ai lavori. E questo ha alimentato la confusione sulle dimensioni del Dark Web. A volte si dice infatti che sia molto esteso, anche più del web di superficie, ma è un errore grossolano: in realtà, sebbene non facile da misurare, è piuttosto contenuto. Studi degli ultimi anni hanno individuato solo alcune decine di migliaia di siti di questo genere. Sulla Rete normale, “in chiaro”, invece non siamo mai anonimi, anche quando pensiamo di esserlo” Il mio (vecchio ormai) libro, Deep Web. La Rete oltre Google

CYBERSICUREZZA Antivirus sotto attacco Cybercriminali hanno violato 3 aziende antivirus americane, rivelano alcuni ricercatori. Si tratterebbe del gruppo Fxmsp, già noto per aver compromesso catene alberghiere e grosse organizzazioni, che vendeva online del codice e degli accessi al network di queste aziende. Ars Technica

Rivenditori frodati Nel 2018 dei cybercriminali sono entrati negli account di 100 venditori Amazon attraverso attacchi di phishing con cui ne hanno preso le credenziali e ne hanno dirottato i fondi sui loro conti in banca. Bloomberg

FACEBOOK Tu quoque, Chris? La Federal Trade Commission dovrebbe annullare l’acquisizione di Whatsapp e Instagram da parte di Facebook per creare più competizione nei mercati dei social media e della messaggistica. Perché il social di Zuckerberg oggi ha il monopolio del settore ed è impossibile per gli utenti cambiare social network dato che non esiste alcuna alternativa seria. Dal 2011 infatti non sono stati lanciati più nuovi social e l’84 per cento della spesa in pubblicità sui social va a Facebook. Chi dice tutto ciò? Uno dei cofondatori di Facebook, Chris Hughes, sul New York Times. (via The Verge) Non risolverà il problema della moderazione dei contenuti, rilancia Slate. Anche per Evgeny Morozov, spezzare Big Tech non è una panacea. Perché è una "conseguenza, non una causa, della nostra sottostante crisi economica e politica". Serve una tecnologia che abbia come obiettivo di cambiare le condizioni sociali. (The Guardian)

APPLE Spotify denuncia Apple all’Ue La società svedese accusa la casa della Mela di approfittare del suo ruolo di «giocatore e arbitro» nel negozio di applicazioni Corriere

Qui puoi leggere le passate edizioni https://tinyletter.com/carolafrediani/archive Come fare informazione con una newsletter (e vivere felici) Ti è piaciuta? Inoltrala a chi potrebbe essere interessato. Per iscriversi a questa newsletter: https://tinyletter.com/carolafrediani Se vuoi mandarmi suggerimenti basta rispondere. Buona domenica!