Per l’ MI5, il controspionaggio britannico, le spie che non “vediamo” e che “dovremmo temere” maggiormente si nascondono nel tessuto più trasversale della società, che si estende tra le sfere politica, culturale ed economico-industriale. Non si tratta degli agenti con copertura diplomatica da cui dovremmo guardarci — il loro ruolo è noto e, come accade di consueto, difficilmente si avvicinerebbero personalmente a una fonte di basso livello — ma di altri profili: giornalisti, accademici e lobbisti rappresentano le principali minacce nel campo di battaglia dello “spionaggio 2.0”, che non è solo ed esclusivamente cibernetico ma passa ancora attraverso la componente fisica per ottenere informazioni sensibili da profili intermedi che si ritengono “al sicuro” e credono di poter condividere solo dati di importanza marginale.

Se avete visto l’ultima serie di Slow Horses — adattamento della saga di spionaggio vergata da Mick Herron — avrete già una percezione dei rischi attuali e delle tecniche che possono essere adottate nella vita di tutti i giorni per ottenere una serie di informazioni che, sommate, possono mettere a rischio qualsiasi server. E infatti, nella realtà, sono proprio i profili di secondo o terzo livello a essere «sotto attacco»: donne e uomini perfetti per essere usati come cavalli di Troia — per diffondere propaganda inconsapevole o su commissione; per partecipare a campagne di disinformazione, misinformazione o controinformazione “spesata” o “imboccata”; o per essere infettati da spyware che, iniziando a raccogliere informazioni apparentemente di poco conto, possono poi condurre all’acquisizione di dati davvero sensibili.

La spie nella società a contatto con la politica

Per i vertici dell’MI5, che stanno lavorando a una campagna informativa per arginare i danni e sensibilizzare gli inglesi a guardarsi sempre le spalle, è diventato estremamente difficile distinguere un “approccio benigno da uno adottato da o per conto di uno stato a fini di interferenza o spionaggio“; e gli agenti dell’intelligence straniera che operano sotto copertura possono fingersi “diplomatici, giornalisti, accademici o lobbisti“, nascondendo i loro legami con lo stato per ottenere ciò che il loro mandante desidera: le vostre informazioni più utili. E questo, possiamo starne ben certi, non è un pericolo riguarda solo il Regno Unito, ma tutte le parti del mondo, compresa ovviamente l’Italia, considerato il suo peso nella politica estera, nell’industria bellica, e il suo ruolo nella Nato, nel Mediterraneo Allargato, negli equilibri geopolitici di questo nuovo assetto multipolare.

“Quando Stati stranieri rubano informazioni vitali del Regno Unito o manipolano i nostri processi democratici, non solo danneggiano la nostra sicurezza a breve termine, ma erodono anche le fondamenta della nostra sovranità e la capacità di proteggere gli interessi dei nostri cittadini. Chiunque legga queste linee guida ha a cuore il ruolo che svolge nella democrazia del Regno Unito. Agisci oggi stesso per proteggerla, e per proteggere te stesso“, ha recentemente dichiarato Sir Ken McCallum, il direttore dell’MI5, la vecchia Sezione 5 dell’Intelligence Militare addetta al controspionaggio e alla sicurezza interna del Regno Unito con in collaborazione con lo Special Branch, le unità antiterrorismo e ovviamente l’intelligence estera, l’arcinoto MI6, cerca di tutelare la maggiore potenza militare del continente europeo dalla proliferazione di agente esteri potenzialmente nocivi per il Regno e per gli altri membri dell’Alleanza Atlantica di cui lo UK fa parte.

Profili a rischio e informazioni privilegiate

I profili a rischio diventano un bersaglio per gli agenti inviati o reclutati dagli “attori statali” esteri perché possiedono “informazioni che consentono ad altri Stati di comprendere le priorità e le attività politiche e strategiche“. Queste informazioni non devono essere necessariamente “informazioni classificate“, ricordano gli agenti segreti inglesi, poiché anche “altre informazioni privilegiate”, apparentemente irrilevanti, nelle mani giuste — ossia di un servizio informazioni avversario che sa come impiegarle, unendole o incrociandole con altre — possono diventare estremamente preziose. Possono servire per ricostruire situazioni, condizioni o catene di comando; per raggiungere altri profili considerati obiettivi reali di operazioni di spionaggio più rilevanti; o per influenzare decisioni su questioni economiche o di politica estera orientandole secondo gli interessi di altri attori statali.

Alimentare una determinata narrazione, accentuare una critica o creare un fronte interno utile alla destabilizzazione — attuale o futura — rientra nelle opzioni di un’intelligence avversaria che può costruirsi una rete di informatori eccellenti anche senza reclutarli direttamente, semplicemente ingannandoli e tenendoli “buoni” o all’oscuro delle reali intenzioni della spia. O può condurre una strategia di guerra cognitiva poggiando i suoi pilastri sulla propaganda diretta a influenzare la scena politica di un Paese avversario.

Le trappole al miele sono un metodo antico ma ancora efficiente, soprattutto con l’avvento di Internet. È noto il caso di un ufficiale americano che rivelò dati sensibili a una donna conosciuta online dietro la quale si celavano, in realtà, i servizi segreti russi. Ancora più pericoloso è il ricatto: quando agenti stranieri utilizzano informazioni su un profilo per influenzarne le azioni. In questi casi, strategie basate su catfishing e phishing, anche con l’ausilio di malware, sono molto diffuse e segnalate come rischi frequenti.

Il controspionaggio inglese sottolinea che la maggior parte degli approcci verso un “bersaglio” saranno ovviamente “legittimi e non degni di alcuna preoccupazione”, ma le attività di spionaggio e interferenza che li hanno indotti hanno invece una natura ingannevole e/o coercitiva: un’interazione apparentemente genuina può rapidamente trasformarsi in qualcosa di più maligno. È noto, per esempio, il caso di reclutatori russi che hanno utilizzato il revenge porn per costringere giovani ucraini a compiere atti di sabotaggio. Dopo averli approcciati su Telegram e intrattenuto conversazioni amichevoli, avrebbero infettato i loro telefoni e computer con malware, accedendo alle gallerie personali per poi minacciarli di diffondere contenuti privati qualora non avessero portato a termine una missione.

Un rischio continuo di spionaggio

Come ricordano gli agenti inglesi, le attività di spionaggio – ossia la raccolta segreta di informazioni a vantaggio di uno Stato straniero – possono essere portate avanti tramite “agenti umani, attacchi informatici o altri mezzi”.

Anche in tempo di pace, gli attori statali cercano di “raccogliere informazioni classificate e altre informazioni di valore per loro, prendendo di mira coloro che ritengono abbiano accesso a tali informazioni o potrebbero ottenerne l’accesso”. Anche le “operazioni di informazione” (o meglio, di disinformazione) sono uno strumento di interferenza utilizzato dalle potenze ostile per destabilizzare un avversario o compromettere le capacità del suo processo decisionale o democratico.

Diffondere informazioni false o manipolate, appositamente create per ingannare l’opinione pubblica, può avere una portata estremamente maggiore se veicolate da un esponente politico sotto ricatto. Allo stesso modo, la pratica dell’hack-and-leak – ossia l’utilizzo di strumenti informatici per accedere a materiale rubato e rilasciarlo selettivamente nel dominio pubblico – può rappresentare il fine ultimo di un avvicinamento malevolo da parte di una delle spie che dovremmo “temere”, ma che spesso lasciamo avvicinare sottovalutando il nostro e il loro “ruolo”.

Il controspionaggio inglese rimarca come il Regno Unito sia “bersaglio di interferenze e spionaggio strategico a lungo termine da parte di elementi degli Stati russo, cinese e iraniano”, che in modi diversi cercano di promuovere i propri interessi economici e strategici e di danneggiare le istituzioni democratiche occidentali. Un rischio non certo sconosciuto all’AISI, la nostra Agenzia informazioni e sicurezza interna, e all’ACN, l’Agenzia per la cybersicurezza nazionale. Proprio di recente, un membro attivo di quest’ultima agenzia mi ha rivelato come ogni giorno l’Italia sia bersaglio di “centinaia di attacchi informatici” sventati. Segno che qualcuno vuole le nostre informazioni. E non si tratta solo di dati di carattere militare: anche la nostra identità e la nostra posizione lavorativa possono essere utili alle spie dalle quali dovremmo guardarci le spalle.

Lo spionaggio e il ruolo svolto dall’intelligence sono sempre stati elementi affascinanti quanto decisivi per gli equilibri regionali e globali. Conoscere, analizzare, e cercare di spiegare la loro importanza e il ruolo che svolgono nei processi della diplomazia e nei conflitti è parte del nostro sforzo quotidiano. Se vuoi approfondire queste tematiche ed essere sempre aggiornato sugli sviluppi nell’ambito della Difesa e dello Spionaggio, segui InsideOver, e sostieni il nostro lavoro, abbonati oggi!

L'articolo Attenti ai giornalisti e ai professori, sono loro le spie che dovremmo temere proviene da InsideOver.

Una chat di Stato per proteggere dati e conversazioni che devono restare “segrete”. Il rischio di spionaggio da parte di intelligence, alleate o avversarie, e i satelliti di Elon Musk che preoccupano una parte dell’Italia. Abbiamo intervistato Marco Santarelli, docente di sicurezza ed intelligence e analisi investigative per enti governativi, esperto nel campo dell’analisi delle reti, infrastrutture critiche, intelligence, big data e energie del futuro, che già in tempi non sospetti aveva affrontato un terreno impervio per l’opinione pubblica, preoccupata dall’avvento di Starlink e spaventata dalla possibilità che una potenza o degli agenti esterni possano “violare” la sicurezza delle comunicazioni più sensibili. Affidando ai sistemi crittografati la sicurezza delle trasmissioni. Dal momento che lo stesso vertice del DIS, il Dipartimento delle informazioni per la sicurezza, ha sottolineato a più riprese come il rischio di spionaggio da parte di statali e privati sia in aumento. Suggerendo l’adozione di un sistema con alti livelli di controllo e monitoraggio.

Il rischio di spionaggio che deve spaventare l’Italia

Sembrano cose da Guerra Fredda, ma dopo un susseguirsi di casi di cronaca il Governo italiano ha iniziato a pensare se sia giunta l’ora di adottare una “chat ad hoc per le conversazioni ufficiali riservate che possa tutelare lo scambio di informazioni sensibili da intercettazioni o accessi non autorizzati da parte di terzi“. Questa piattaforma potrebbe essere sviluppata da Telsy del gruppo TIM, e offrirebbe le stesse funzionalità delle più popolari WhatsApp, Telegram o Signal, imponendosi come “strumento robusto e sicuro per effettuare comunicazioni sensibili in ogni tipo di ambiente operativo” grazie a “sofisticati layer di sicurezza”. L’ispirazione viene da Olvid, il sistema impiegato dal Governo francese per le conversazioni tra i ministri.

Ci sarebbe poi un’altra questione poco “dibattuta”, come è stato recentemente ricordato dal procuratore Nicola Gratteri: l’Italia acquista auto blindate straniere destinate ai figure chiave e fibra ottica all’estero, telecamere di sicurezza che “hanno microchip che portavano il segnale all’estero”. Ciò comporta un rischio per la sicurezza alla base.

Marco Santarelli, secondo la sua analisi della situazioni, quali sono i potenziali rischi e le criticità che un’inadeguata serie di accortezze e contromisure per la sicurezza delle comunicazione potrebbe comportare al nostro Paese se si continuerà a limitarsi a scambiare dati, più o meno sensibili, attraverso delle semplici app. che impiegano crittografia end-to-end, cito “la stessa attualmente utilizzata da piattaforme come WhatsApp”, che comunque viene usata dai nostri politici. Anche quelli che hanno accesso o devono lavorare con asset strategici, come l’Eni ad esempio, o con la Difesa?

Intanto partiamo dal presupposto che nell’ambito della sicurezza nessuna misura è infallibile o impenetrabile al 100%. Specifichiamo, però, che ci sono tre elementi, che fino a poco tempo fa avevano un senso: l’elemento di sicurezza fisica, quella propria delle persone, esposte a situazioni limite; quello della sicurezza delle informazioni, con reparti pubblici e privati che le analizzano per evitare grandi crisi storiche; quello della sicurezza informatica, che sembrava essere completamente slegato dalla vita delle persone. In questo senso è avvenuta una sorta di rivoluzione copernicana, ovvero la vita ideale, la vita che prima sembrava essere una questione marginale soprattutto perché i computer si esaltavano secondo i nostri modelli (quella artificiale del web e dei social network), oggi è diventata una questione primaria poiché, attraverso algoritmi e meccanismi di costruzione in Machine Learning, la stessa sicurezza viene inglobata in un unico sistema in cui non c’è più nessun confine preciso tra quei tre elementi sopramenzionati. Come vediamo negli attentati terroristici, si può passare facilmente da elementi tradizionali a elementi contemporanei con un semplice click.

La vita delle persone non è più esposta solo fisicamente, ma anche in maniera eterea e attraverso i dati che loro stesse mettono a disposizione. Quindi, si è in un unico mondo, che tanti hanno definito ibrido, in cui l’attività di sicurezza passa attraverso una comunicazione fluida che mette insieme tutti i lati della nostra vita, nessuno escluso. Questo per dimostrare come la pericolosità non sia più qualcosa che si possa tecnicamente prevedere, ma è qualcosa che si delinea attraverso l’unione di più elementi. Uno di questi elementi è proprio il passaggio dei dati da un punto ad un altro, che prima avveniva attraverso sistemi tradizionali, mentre oggi avviene, benché sia tradizionale anch’essa, attraverso la crittografia.

Quindi in che modo si può influire per salvaguardare la sicurezza in questa nuova era?

Veniamo al punto: essendo cambiato il concetto di sicurezza che tecnicamente ormai riguarda tutti, dobbiamo passare dalla possibilità di capire cos’è la sicurezza alla capacità e la possibilità di capire come essere sicuri. L’approccio umano non basta più e servono strumenti. Questi ultimi sono il soggetto della maggior parte delle applicazioni o dei sistemi di comunicazione. Uno di questi sistemi è la crittografia end-to-end. Oggi non si devono più proteggere i dati quando vengono “rubati”, ma si deve garantire la vita stessa già nel momento in cui cerchiamo qualcosa sul web. Con la crittografia end-to-end, anche le aziende tecnologiche che producono applicazioni crittografate non hanno le “chiavi” per decifrare il codice. Anni fa sono stato messo a capo di un progetto per un ente governativo in cui, da buon umanista, non essendo informatico, ho cercato di tradurre, insieme a tutto il gruppo, delle informazioni che provenivano dall’esterno in maniera neutrale e inserirle automaticamente all’interno di un sistema di interscambio informativo. Questo meccanismo ha permesso di capire come la crittografia su cui si devono porre le basi per il futuro non è quella attuale, ma, come dimostrano vari studi, si serve di altri tipi di tecnologie, ancora in fase di ricerca, che permettono di analizzare i messaggi e segnalare il materiale pericoloso senza violare la crittografia o rendere visibile il contenuto dei messaggi.

Una di queste è la “Scansione automatica”, che si basa sull’intelligenza artificiale per l’analisi dei contenuti e il confronto con un database di materiale identificato. Attraverso questa tecnologia, il messaggio potrebbe essere bloccato prima dell’invio o segnalato alle forze dell’ordine o al destinatario. Questa scansione può avvenire lato client, ossia sui dispositivi dell’utente prima che il messaggio venga crittografato e inviato, oppure lato server, quindi, a seguito dell’invio del messaggio e prima che il destinatario lo riceva. La presenza dell’Intelligenza Artificiale in questa tecnologia potrebbe portare al rischio di segnalazioni di messaggi non realmente problematici. Secondo il presidente della piattaforma Signal, Meredith Whittaker, “la scansione lato client è un patto faustiano che annulla l’intera premessa della crittografia end-to-end, imponendo una tecnologia profondamente insicura che consentirebbe al governo di controllare letteralmente ogni parola prima che venga espressa”.

Un’altra tecnologia in fase di studio è la “Message franking e forward tracing”. Il Message franking sfrutta la crittografia per segnalazioni verificabili di messaggi dannosi, a differenza della tecnologia attuale, che non permette di verificare il contenuto effettivo del messaggio e se il messaggio segnalato è stato manomesso. Facebook l’ha proposta nel 2017, incorporando tag che funzionano come firma elettronica digitale in ogni messaggio, così che al momento della segnalazione di messaggio pericoloso, la piattaforma social può verificare tramite il tag se il messaggio segnalato è stato manomesso. Il “Forward tracing”, invece, consiste nell’affrancatura dei messaggi per tracciare l’origine dei messaggi crittografati, così che nonostante i vari inoltri a cui sono solitamente sottoposti i messaggi dannosi si possa comunque risalire alla loro provenienza. Anche in questo caso, ci sono dubbi sulla legittimità di questo tipo di sistema.

Nell’attesa della cosiddetta crittografia quantistica, in enorme ritardo e con tanti proclami di molti, che dovrebbe risolvere ogni problema perché si basa sulle leggi della fisica, in alcuni ambienti riservati si sta utilizzando di nuovo la cosiddetta DMZ, da Demilitarized zone, ovvero le reti tra apparati militari, in DMZ, protetti da più farewall in entrata e uscita, decriptano le informazioni attraverso un nodo continuamente diverso dal nodo principale.

Recentemente Franco Bernabé, già amministratore di Telecom Italia, è intervenuto in una trasmissione televisiva nel merito della sicurezza delle informazione, e per questo vorrei conoscere la sua opinione rispetto alla reale capacità (menzionata da Bernabé) di spionaggio tecnologico che prevede o potrebbe aver previsto il “monitoraggio di informazioni anche su app. crittografate” da parte di agenzie come NSA e GRU. Queste due agenzie d’Intelligence, per non menzionarne altre, possono o hanno davvero “accesso” a dati sensibili del nostro Governo? Oppure a livello governativo, economico e industriale, le questioni più sensibili come quelle strategiche e o strategico-economiche vengono trasmesse solo attraverso piattaforme differenti, per tenerle “segrete” agli alleati come agli avversari o ai competitor? 

La domanda è molto complessa e la risposta si può dividere anche qui in tre parti. La prima parte, totalmente legata ad un ambito legislativo, riguarda il processo di indagine. Quando è in corso un’indagine in cui si hanno tutte le dovute autorizzazioni, ascoltare conversazioni, gestire conversazioni di tipo ambientale, entrare nelle chat e quant’altro, è un’attività investigativa del tutto lecita. Bisogna, tuttavia, fare un distinguo: se durante l’indagine un qualche ente giuridico, tra cui la procura, intende capire se l’indagato è recidivo o all’interno di una posizione compromettente, si possono lecitamente ascoltare le conversazioni e registrarle in via preventiva; se, invece, si acquisiscono le posizioni di un indagato già compromesso, il controllo sulle chat e quello che ne consegue sarà lecito, ma eseguito da tecnici forensi e non in via preventiva. Mentre nel primo caso, pur avendo un mandato o simili, si può entrare con sistemi ad hoc senza che l’individuo se ne accorga, nel secondo caso viene sequestrato il device o gli apparati compromessi.

La seconda parte riguarda un altro livello di sicurezza legata alla counter-intelligence, ovvero alla capacità di capire in anticipo, per il benessere proprio di un paese, le mosse di un altro paese o nazione o di un avversario, per poterne mitigare le eventuali azioni malevole. Qui ci dobbiamo chiedere qual’è la visione per cui questi dati o queste informazioni vengono prese. Pensiamo al caso Snowden, milioni di informazioni di persone completamente innocue o fuori da un discorso di controspionaggio sono state prese semplicemente perché erano collegate almeno in sei passaggi, i classici sei gradi di separazione in matematica, con altri personaggi che invece erano totalmente invischiati in situazioni illecite. Questo vuol dire, anche se non risponde esattamente a dei concetti proprio leciti, che, per proteggersi, in via preventiva, “senza un mandato” come si diceva precedentemente, alcuni apparati di sicurezza possono, appunto, sempre per il bene del proprio paese, captare alcune informazioni e conversazioni delle persone. Ma questa cosa è diversa rispetto a quello che è accaduto nella Seconda guerra mondiale, perché dal caso Snowden in poi, come detto poc’anzi, le informazioni hanno una predominanza utilitaristica. Faccio un esempio: l’informazione sul danneggiamento di cavi sottomarini, all’interno dei quali transita quasi la totalità dei nostri dati, è di interesse pubblico, mentre l’informazione legata agli individui coinvolti in un conflitto potrebbe essere solo di interesse politico e non di sicurezza globale perché il confine tra colpevoli e colpiti potrebbe non essere ben delineato.

E “noi” quali strumenti abbiamo?

L’ultima parte che volevo toccare riguarda appunto gli strumenti. Paradossalmente, tali strumenti, dovendo dotarsi di certificazioni mirate, un esempio tra tutti quello dei microchip o dei bluetooth, sono schedati all’interno di un processo produttivo che coinvolge una quantità enorme di persone, che, dovendo seguire una serie di controlli, conosce anche il contenuto di questi strumenti tecnologici. Questi ultimi, essendo facilmente reperibili, vengono venduti e, di conseguenza, sono attaccabili. In questo senso è fondamentale quello che dice il procuratore Gratteri sull’utilizzo di strumentazione da parte delle forze dell’ordine che proviene da fornitori esteri, che possono essere aziende cinesi, russe o aziende potenzialmente legate alla criminalità organizzata. Questi strumenti saranno probabilmente già compromessi alla nascita, per cui le figure impegnate in indagini sulla criminalità organizzata, tra cui anche gli investigatori esterni, rischiano di utilizzare sistemi ben conosciuti dai criminali, quindi facilmente scalabili da questi ultimi. A quel punto, un device che viene fornito attraverso una gara pubblica, rischia di essere hackerato semplicemente perché si conoscono già i circuiti e i modelli che vengono utilizzati all’interno di quel sistema. C’è stata, sotto questo punto di vista, una massificazione degli strumenti che non detengono più un’unicità per la parte investigativa, ma che riguardano tutti e come tali, riguardano anche i malintenzionati.

Secondo lei, Santarelli, quale può essere l’impattato, i rischi e benefici del rapporto che il nostro Paese sta stringendo con Elon Musk e le sue tecnologie?

Se ci riferiamo a Starlink, dobbiamo iniziare dicendo che Starlink è la costellazione satellitare progettata dall’azienda spaziale statunitense SpaceX, di cui è proprietario Elon Musk, composta da oltre 7.000 satelliti in orbita bassa e 30.000 in via di autorizzazione, che ha iniziato ad operare circa sette anni fa con i primi satelliti lanciati in orbita tramite i razzi Falcon 9. In questi giorni si è parlato molto del possibile accordo tra il governo italiano e la società di Musk per l’adozione dei suoi satelliti, a quanto pare in fase di trattativa. Non sarebbe la prima volta che l’Italia si rivolge al di fuori dei confini europei, avendolo già fatto con Google, Microsoft e Amazon, e potrebbe essere una soluzione ponte nell’attesa che entri in azione il progetto europeo a cui il nostro Paese ha già aderito, ossia IRIS2.

IRIS2, che dovrebbe partire all’incirca nel 2030, prevede la realizzazione di una costellazione di satelliti propria da sfruttare per le comunicazioni governative e di sicurezza. Tuttavia, per evitare che, come anche ha sottolineato l’eurodeputato Christophe Grudler, Rapporteur e negoziatore per il Parlamento europeo di IRIS2 in un’intervista per Key4biz, il nostro Paese perda la sua sovranità e indebolisca il suo ruolo di leadership in IRIS2, mettendo anche a rischio la sicurezza delle informazioni, sarebbe più strategico che resti su un sistema europeo sfruttando GovStaCom, programma spaziale istituito nel 2021, che potrebbe entrare in azione nel corso di quest’anno. Rispetto a IRIS2, non prevede la realizzazione di una infrastruttura dedicata in orbita, ma sfrutta un sistema comune di capacità e servizi già a disposizione a livello nazionale, che collega tramite hub gli utenti governativi ai centri operativi in tutta sicurezza. IRIS2, una volta a regime, sarà in grado di integrarsi a GovStaCom. 

L'articolo Marco Santarelli: “Starlink per l’Italia? Solo finché non arriva l’IRIS2 europeo” proviene da InsideOver.

Uno yacht di lusso, il Bayesian, che si inabissa il 19 agosto a poche centinaia di metri dal porto di Palermo. Fin qui non ci sarebbe nulla di eccezionale. Le cose cambiano non appena si conosce l’identità delle persone a bordo e, purtroppo, delle vittime. Tra queste, la più illustre è senz’altro il magnate britannico Mike Lynch.

Un incidente stradale in Inghilterra, nella contea di Cambridgeshire: un pedone investito il 17 agosto e morto due giorni dopo. Anche in questo caso, nulla di eccezionale, se non fosse per l’identità della vittima: Stephen Chamberlain, il socio di Lynch.

A unire due tragedie lontane geograficamente e a tingere di giallo l’intera vicenda c’è il rapporto che legava le due vittime: Lynch e Chamberlain erano soci in affari. Insieme avevano fondato due società: Darktrace e Autonomy. Realtà attive nel mondo della cybersecurity, più specificatamente del cyberspionaggio. E il complotto è servito.

Sin dalle prime ore del 20 agosto, quando la notizia del naufragio ha cominciato a diffondersi, sono iniziate a fioccare le illazioni: non può essere un caso che proprio dopo essere stato assolto da un’accusa per frode (per la vendita di Autonomy) Lynch sia morto praticamente in contemporanea del suo socio Chamberlain. Scomparso, a Palermo, anche il legale di Lynch, Chris Morvillo.

Si è parlato di traffici oscuri delle vittime dei due incidenti. Che, però, erano freschi di vittoria giudiziaria, come ricorda Il Sole 24 Ore: “I quindici superstiti del naufragio del Bayesian, tra cui Angela Bacares, la moglie di Lynch, hanno confermato che la vacanza in barca era stata organizzata per festeggiare la piena assoluzione di Lynch e Chamberlain, che in giugno erano stati entrambi scagionati dalle accuse di frode e falso in bilancio dal tribunale di San Francisco”.

Addirittura, da qualche parte è stato persino scritto che qualche improbabile servizio segreto avrebbe colpito il Bayesian con una tromba d’aria mirata.

Prevedibile, forse addirittura naturale. Quando di mezzo ci sono rapporti con i servizi segreti (Darktrace è uno strumento estremamente all’avanguardia, che sfrutta un sistema di intelligenza artificiale ad autoapprendimento), commesse miliardarie con il Pentagono, affari con la Cia e l’NSA, un incidente stradale e un naufragio, lasciarsi cullare dal complottismo è la via più semplice, quella che fornisce le risposte più immediate che regalano ordine laddove l’ordine non è di casa.

C’è però una cosa da considerare: il caso esiste. E dobbiamo farcene una ragione. Poniamo anche il caso – e non vi sono elementi di sorta – che un incidente stradale come quello di cui è rimasto vittima Chamberlain si possa organizzare con relativa facilità, non può dirsi la stessa cosa di un naufragio che ha coinvolto 22 persone, avvenuto peraltro nel corso di una tempesta molto simile a un uragano. La cui causa sembra essere legata, come ha ricordato il climatologo Paolo Sottocorona, alla problematica condizione in cui si trova il Mar Mediterraneo sempre più tropicalizzato a causa del riscaldamento globale: “Il mare caldo sembra piacevole, ma il calore dal punto di vista fisico è energia. Il Mediterraneo in questo momento è una tanica di benzina. Se ci metti un fiammifero, cioè una corrente di aria fredda come quelle di questi giorni, lui esplode”, ha dichiarato Sottocorona a Repubblica.

Certo, non appena sono emersi i rapporti di Lynch con l’intelligence, la memoria collettiva si è inevitabilmente spostata a un altro naufragio: quello del 28 maggio 2023, quando sul Lago Maggiore una barca carica di agenti dell’Aise e del Mossad si è inabissato insieme a tutti i segreti di quell’insolito meeting. Anche in quel caso, una tromba d’aria, o comunque un’inaspettato peggioramento delle condizioni atmosferiche.

E anche se molte coincidenze possono sembrare sorprendenti o addirittura inquietanti, è bene sempre analizzare i fatti sulla base degli elementi a disposizione: esiste un video chiaro del momento del naufragio del Bayesian, inghiottito dalle onde in poco più di un minuto, in cui non sembrano apparire elementi terzi che lascino pensare a un sabotaggio; andrebbe analizzata la possibilità che aree come quella del porto di Palermo, facente riferimento alla quinta città italiana per popolazione in un periodo di alta intensità turistica, possano esser state violate da chi, presumibilmente, avesse voluto interferire o organizzare una qualche forma di sabotaggio o intervento esterno; ci si potrebbe chiedere se chi avesse voluto mettere a tacere Lynch per non precisati segreti o conti personali da regolare non avesse piuttosto pensato a un metodo meno plateale; infine, esiste il vecchio dilemma del cui prodest?, dato che la figura della vittima più discussa del naufragio è salita alla ribalta assieme al carico di misteri che lo circondavano proprio a seguito della morte.

In conclusione, lasciamo che le indagini facciano il loro corso prima di saltare a facili conclusioni. Se poi volessimo concederci un pizzico di complottismo, diciamo che se fossimo degli 007, di questi tempi eviteremmo qualsiasi invito per prendere parte a una gita in barca, ma questa è un’altra storia.

L'articolo Tempeste, naufragi e cyberspionaggio: gli ingredienti del complotto proviene da InsideOver.

Condividere le informazioni con rapidità: ecco il primo passo per sconfiggere organizzazioni di cyber criminali sempre più strutturate per resistere all’azione di contrasto. Un’azione che trova la sua efficacia soprattutto quando si fa gruppo, quando questa difesa non è appannaggio di un solo Stato ma diventa “sistema”. Sta proprio qui il senso della creazione, in seno all’Agenzia per la cyber sicurezza Nazionale, dell’ISAC Italia (Information Sharing and Analysis Center). Di cosa si tratta? L’ISAC Italia è il Centro nazionale per l’analisi e la condivisione di informazioni in ambito cyber, una struttura che è parte integrante dello European Cybershield previsto dall'” EU Cybersecurity Strategy for Digital Decade”, che mira a creare una rete europea di ISAC e di Security Operations Center (SOC), che andranno ad affiancare la già esistente CSIRT network. L’ISAC Italia ha anche il ruolo di facilitare la creazione di ISAC settoriali (a partire, per esempio, dal panorama vasto della Pubblica amministrazione), fornendo linee guida e riunendo le diverse entità in un unico network insieme a quelli già esistenti sul territorio nazionale.

Una rete interconnessa

Gli ISAC si configurano come organizzazioni senza scopo di lucro, finalizzate allo scambio di informazioni e conoscenze in ambito cyber. La loro costituzione promuove la cooperazione e la collaborazione tra partecipanti, incoraggiando la creazione di un ambiente di fiducia in cui sia possibile condividere esperienze e informazioni su minacce, vulnerabilità e lezioni apprese in relazione alla sicurezza informatica. All’interno di un ISAC settoriale, infatti, sarà possibile mettere a fattor comune esperienze e capacità nella gestione dei rischi e minacce cyber.

La forza della condivisione

In poche parole, ISAC Italia si pone quale interfaccia unica tra i servizi offerti dall’ACN e le esigenze tra i diversi settori, offrendo agli ISAC settoriali affiliati alla rete nazionale servizi di analisi, capacity building e info-sharing attraverso canali di fiducia sicuri e riservati. I contenuti informativi saranno caratterizzati da pubblicazioni, analisi settoriali, linee guida sulla gestione della governance e del rischio cyber, sulle minacce di sicurezza informatica e sul contesto normativo vigente.

Gruppi di lavoro, training, seminari e conferenze saranno ulteriori elementi offerti per rafforzare le capacità di prevenire, identificare, mitigare e contrastare rischi e minacce informatiche attuali ed emergenti.

L'articolo Uno scudo europeo per sconfiggere il cybercrime proviene da InsideOver.

Negli ultimi anni si è registrata una vera escalation di cyberattacchi la cui natura può variare, ma che di solito hanno sempre una motivazione: il denaro. In particolare, nel corso dell’ultimo decennio vi sono state vere Waterloo digitali che hanno permesso enormi passi avanti in temi di cybersicurezza, ma che, allo stesso tempo, hanno esposto milioni di utenti a rischi raramente percepibili come tali, eppure estremamente reali.

Ecco allora una classifica, di certo parziale, dei 10 peggiori attacchi informatici degli ultimi dieci anni.

1. 2013: l’attacco informatico a Target Corporation, catena di grandi magazzini statunitense, porta alla compromissione di circa 40 milioni di carte di credito e di debito e di circa 70 milioni di dati personali come nomi, indirizzi, numeri di telefono ed email. Si tratta di uno dei più imponenti furti di dati della storia degli Stati Uniti, che provocò all’azienda un danno finanziario enorme tanto per i costi di ripristino dei sistemi, quanto per le azioni legali dei clienti che si videro svuotati i conti.

2. 2013: un altro attacco arriva a stracciare il record segnato da quello sferrato contro Target Corporation. A finire nel mirino dei cyber criminali stavolta è Yahoo!, e la compromissione coinvolge 3 miliardi di account, con un furto di informazioni che comprendeva nomi, indirizzi mail, numeri di telefono, date di nascita e password criptate. L’attacco venne reso noto dall’azienda leader nel settore delle comunicazioni solamente nel 2016.

3. 2014: hacker che saranno poi identificati come provenienti dalla Corea del Nord (anche se “identificare” qualcuno in questi casi è un parolone) attaccano Sony Pictures Entertainment. In questo caso, l’attacco non ha motivazioni finanziarie ma ha il sapore della rappresaglia. Cinque film non ancora usciti nelle sale finiscono in rete e dietro le ragioni di questa azione si pensa vi sia l’annuncio dell’uscita di un film – The interview – in cui si racconta di un piano per assassinare Kim Jong-un.

4. 2015. Un attacco di altissimo profilo al sito di incontri Ashley Madison crea il panico tra gli utenti. Il gruppo hacker Impact Team, infatti, penetra i server del sito e diffonde i dettagli personali di milioni di utenti, determinando, tra le altre cose, la fine di molti matrimoni. Secondo diverse fonti reperibili in rete, almeno 30 persone si sarebbero suicidate a seguito di questo attacco.

5. 2017, maggio. Fa la sua comparsa sulla scena digitale un ransomware passato alla storia: WannaCry. Nato probabilmente nei laboratori nord coreani, il ransomware sfrutta un exploit in grado di sfruttare una vulnerabilità di Microsoft Windows chiamato EternalBlue. Sviluppato dall’NSA statunitense, EternalBlue viene trafugato da un gruppo hacker che si fa chiamare The Shadow Brokers. Il frutto di questa azione da film di spionaggio è una vera pandemia globale che infetta 230.000 computer in 150 paesi. A interrompere la diffusione incontrollata del malware, un ricercatore britannico di 22 anni.

6. 2017, giugno. Nonostante Microsoft fosse intervenuta per sanare la vulnerabilità, emerge dagli abissi della rete un altro ransomware che, sfruttando la stessa vulnerabilità, se possibile fa più danni – soprattutto a livello economico – del cugino WannaCry. Stiamo parlando di NotPetia, uno strumento pensato non tanto per criptare i dati di un server a fini estorsivi, quanto piuttosto per distruggere. E lo fa decisamente bene. I primi a essere messi in ginocchio sono i sistemi di molte aziende ucraine, il che lascia pensare a una possibile matrice russa, anche se non vi sono certezze a riguardo. In breve, NotPetia si diffonde in tutto il mondo, interessando 60 paesi e causando danni per centinaia di milioni di dollari. Ad oggi, un record ancora intatto. Tra le infrastrutture critiche colpite, basti citare la centrale nucleare di Chernobyl.

7. 2017, settembre. Equifax, società americana di controllo del credito dei consumatori, subisce un furto di dati che compromette le informazioni di 143 milioni di cittadini, tra cui parecchi canadesi e britannici. I vertici dell’azienda puntarono il dito contro gli hacker cinesi, ma, come sempre, capire chi veramente si nascondesse dietro gli schermi è difficile, se non impossibile. Quello che è certo è che in questo caso, come in molti altri simili, è emersa l’incapacità da parte dei vertici aziendali di gestire correttamente l’emergenza.

8. 2018, è il turno di Facebook. 30 milioni di profili coinvolti in quello che diventa uno dei furti di dati più pubblicizzati della storia. Gli hacker, la cui provenienza resta a tutt’oggi un mistero, entrano in possesso di 400 mila token, ovvero parti di codice che permettono ai legittimi proprietari di un profilo di restare collegati alla piattaforma social senza digitare ogni volta le proprie credenziali. Numeri di telefono, indirizzi mail e altri dati vengono trafugati. In questo caso, la risposta dell’azienda sarà pronta e trasparente verso gli utenti.

9. 2020. Il più grave attacco di quest’anno è quello sferrato alla piattaforma Orion di SolarWinds, azienda di applicazioni informatiche statunitense, dal gruppo hacker di matrice russa APT29. Grazie alla diffusione di un malware in un aggiornamento, gli hacker riescono per mesi a spiare enti governativi americani e aziende di altissimo livello in tutto il mondo, Italia compresa. Una delle più grandi azioni di cyber spionaggio della storia.

10. 2021. Quando si dice “un gigante dai piedi di argilla”. Un profilo che si adatta perfettamente a Colonial Pipeline, il più grande sistema di oleodotti petroliferi degli Stati Uniti, vittima di un devastante attacco da parte di un gruppo ransomware chiamato Darkside. L’attacco di per sé non provoca troppi danni, ma obbliga i vertici dell’azienda a bloccare completamente l’attività per debellare il malware, mettendo in ginocchio la costa Est degli Stati Uniti per almeno due settimane, con i benzinai costretti a razionare il carburante.

Questi dieci casi sono solo la punta dell’iceberg. Ogni giorno piccole, medie e grandi aziende finiscono vittime di attacchi cyber, così come i singoli utenti. Un panorama composito di truffe sempre più articolate e difficili da prevedere, un giro di affari miliardario, una vera e propria economia parallela che orami è da paragonare a quella del narcotraffico o del mercato delle armi. L’unica arma a nostra disposizione, al di là di Firewall o antivirus di ultima generazione, siamo noi stessi, il nostro sesto senso. E a volte non basta neanche quello.

L'articolo I 10 peggiori cyber attacchi degli ultimi anni, dalle carte di credito ai film della Sony proviene da InsideOver.

“Hai ricevuto un MMS sospetto? Il tuo telefono, probabilmente, è già stato violato”. Con questa frase inquietante comincia un post pubblicato sulla pagina Linkedin di Clio Security, azienda attiva nel ramo della sicurezza informatica presieduta da Michael Clemente, che più volte abbiamo intervistato sul tema. In un momento storico decisamente particolare e in un contesto in cui manca completamente una cultura digitale in grado di proteggere gli utenti per lo più ignari delle minacce che si nascondono nei meandri della rete, Clio Security, attraverso i propri canali, mira a sensibilizzare il pubblico dei “non addetti ai lavori” puntando su una comunicazione semplice ma a forte impatto. E allora, cosa c’entrano gli MMS con il cyber crime?

Una nuova minaccia in vendita nel Darkweb

Presto spiegato. Il post pubblicato lo scorso 31 luglio continua: “𝐔𝐧 𝐧𝐮𝐨𝐯𝐨 𝐞𝐱𝐩𝐥𝐨𝐢𝐭 𝐙𝐞𝐫𝐨-𝐂𝐥𝐢𝐜𝐤 𝐑𝐂𝐄 è 𝐢𝐧 𝐯𝐞𝐧𝐝𝐢𝐭𝐚 𝐩𝐞𝐫 5 𝐦𝐢𝐥𝐢𝐨𝐧𝐢 𝐝𝐢 𝐝𝐨𝐥𝐥𝐚𝐫𝐢. Il 16 giugno, un hacker con lo pseudonimo di “Sp3ns3r” ha annunciato la vendita di un exploit Zero-day per l’esecuzione remota di codice (RCE) su BreachForums”. Tradotto: l’exploit, in informatica, è una vulnerabilità software. Se poi è “Zero day”, significa che non è mai stata rilevata prima. L’esecuzione remota sta a significare che la vulnerabilità può essere attivata a distanza. Il fatto che questa, poi, sia in vendita su uno dei principali black market attualmente presenti sul Darkweb non è poi una cosa tanto eccezionale. A essere eccezionale, piuttosto, è l’importo chiesto dall’hacker. Continuiamo a leggere il post di Clio Security.

Quando lo ricevi è già tardi

“Nell’annuncio, è stata sottolineata la facilità dell’attacco, evidenziando la natura Zero-Click dell’exploit. Questo significa che 𝐩𝐞𝐫 𝐞𝐬𝐞𝐠𝐮𝐢𝐫𝐞 𝐢𝐥 𝐜𝐨𝐝𝐢𝐜𝐞 𝐧𝐨𝐧 è 𝐧𝐞𝐜𝐞𝐬𝐬𝐚𝐫𝐢𝐨 𝐚𝐥𝐜𝐮𝐧 𝐢𝐧𝐭𝐞𝐫𝐯𝐞𝐧𝐭𝐨 𝐝𝐚 𝐩𝐚𝐫𝐭𝐞 𝐝𝐞𝐥𝐥’𝐮𝐭𝐞𝐧𝐭𝐞. Secondo l’hacker, l’exploit è compatibile con i sistemi operativi Android delle versioni 11, 12, 13 e 14, dimostrando la sua efficacia su qualsiasi dispositivo Android. Il potenziale di danno di questo exploit è estremamente elevato”. Un exploit “Zero click” è particolarmente insidioso proprio perché, come specificato nel post, non c’è bisogno di alcuna interazione da parte della vittima. E ora arriviamo al cuore del problema: come si diffonde questa minaccia?

“Il metodo principale di diffusione indicato è tramite messaggi MMS (Multimedia Messaging Service). Il semplice fatto di ricevere un messaggio di questo tipo potrebbe già compromettere il dispositivo. La natura RCE dell’exploit significa che un malintenzionato remoto, una volta compromesso il dispositivo, potrebbe eseguire qualsiasi comando sul dispositivo infettato”.

Il valore del crimine

“L’exploit – si legge ancora nel post – è stato messo in vendita per la cifra record di 5 milioni di dollari. Inoltre, su richiesta, l’hacker fornisce una prova di concetto (PoC) per dimostrare le capacità dell’exploit. Il precedente record recente per il costo di un exploit venduto era detenuto da una vulnerabilità RCE in Microsoft Outlook, il cui exploit era stato messo in vendita sulla stessa BreachForums per 1,7 milioni di dollari. Ora, questo record è stato ufficialmente battuto”.

Istruzioni per la sopravvivenza

E fino a qui, le cattive notizie. Gli analisti di Clio Security, però, forniscono anche le linee guida per tutelarsi e rendere la minaccia inoffensiva. Dunque prendete appunti: “Per proteggere i propri dispositivi Android dal nuovo attacco Zero-Click, è possibile disabilitare il download automatico di MMS nelle impostazioni dei messaggi. Nelle impostazioni di Google Messaggi, questo si fa seguendo questi passaggi: Cliccare sul proprio avatar —> Impostazioni di Messaggi —> Avanzate —> Download automatico degli MMS (spostare l’interruttore su “Off”). Rimanete vigili, aggiornate tempestivamente il software e seguite le raccomandazioni di sicurezza informatica per proteggere i propri dispositivi e dati”.

L'articolo Cybercrime: hai ricevuto un MMS? Forse è già troppo tardi proviene da InsideOver.

Il 9 luglio si è tenuta l’ultima udienza del processo a carico di Federico Ramondino, l’esperto di cyber security finito al centro di una storia tanto complicata quanto assurda, nata dalle denuncia di Giulio Occhionero, arrestato nel 2017 dalla Procura di Roma con l’accusa di essere il padre del virus informatico EyePyramid. Occhionero, dal carcere di Rebibbia dove era rinchiuso con l’accusa di aver spiato ed esfiltrato dati sensibili per un decennio grazie alla creatura informatica a lui ricondotta dagli inquirenti, aveva denunciato alla Procura di Perugia l’operato del pm Eugenio Albamonte, dei vertici del Cnaipic e di Ramondino, che aveva prestato la sua consulenza nelle fasi iniziali delle indagini.

Ebbene, dopo oltre cinque anni di vero calvario, il processo si è concluso con un’assoluzione piena perché il fatto non sussiste. Un epilogo per nulla scontato, soprattutto per chi, come noi, ha seguito tutte le fasi di questa vicenda giudiziaria particolarmente intricata e simbolo dell’epoca che stiamo vivendo. Sì, perché in uno scenario geopolitico particolarmente complesso e con un conflitto alle porte dell’Europa che ha fatto esplodere il crimine informatico, il processo a Ramondino era un processo a tutti quegli esperti di sicurezza informatica che, in veste di consulenti, giornalmente sono chiamati a difendere le nostre infrastrutture a fianco delle forze dell’ordine. E in più di un’occasione ci siamo fatti la domanda: se Federico Ramondino sarà condannato, chi avrà più il coraggio di aiutare le istituzioni? Per fortuna, è una domanda a cui non dovremo cercare di dare una risposta.

Nell’ultima udienza, la sensazione era quella di trovarsi di fronte all’ennesima replica di uno spettacolo dove ormai gli stessi attori hanno perso l’entusiasmo. E in effetti il processo di Perugia, almeno secondo la parte civile, ovvero Giulio e Francesca Occhionero (anche lei arrestata nel 2017 con il fratello), doveva nascere sotto un’altra stella. Quando tutto è iniziato, nel 2018, sembrava che questo processo dovesse terremotare la Procura di Roma, colpendo l’allora presidente dell’Associazione Nazionale Magistrati. Se tutto fosse andato come Occhionero aveva immaginato, proviamo a immaginare quale tempesta perfetta si sarebbe abbattuta sulla magistratura capitolina, dal momento che di li a poco sarebbe esploso il bubbone del caso Palamara.

Così non è stato. Albamonte e i vertici del Cnaipic sono usciti di scena subito e sul banco degli imputati è rimasto il solo Ramondino. Anche nell’ultima udienza, l’avvocato di parte civile Stefano Parretta si è detto sicuro che tutta la vicenda che ha poi portato all’arresto del suo assistito, Giulio Occhionero, sia in realtà partita da un Ramondino ossessionato dal voler dare un volto a chi si nascondeva dietro il malware EyePyramid, in accordo con Enav. Tutto, in effetti, era partito proprio da una mail sospetta ricevuta da Enav. Secondo l’avvocato Parretta, si sarebbe trattato di un complotto sulla pelle del suo assistito.

L’avvocato difensore di Ramondino – Mario Bernardo – dopo aver puntualizzato che le accuse dell’avvocato di parte civile non rientravano nemmeno tra gli argomenti trattati nel corso del processo, ma riguardavano il procedimento svoltosi a Roma a carico dei fratelli Occhionero, con un’arringa di oltre un’ora ha messo in fila tutti gli elementi più controversi di questo lungo processo. A partire dalla consulenza tecnica disposta dall’accusa e affidata a un esperto di intercettazioni telefoniche. Consulenza oggetto di dure critiche da parte della difesa anche nel corso delle passate udienze.

L’avvocato ha parlato dello scenario di oggi, che gli esperti del Clusit definiscono di “guerra cibernetica diffusa“, in cui le nostre infrastrutture sono costantemente oggetto di attacchi informatici potenzialmente devastanti. Davvero si può immaginare di condannare una persona che ha agito in difesa di queste infrastrutture su mandato delle istituzioni? “L’unica colpa di Ramondino – ha detto l’avvocato Bernardo – è quella di essere stato la scintilla grazie alla quale il Cnaipic e l’FBI si sono resi conto di una realtà [quella di EyePyramid] fino ad allora sottostimata e oggi riconosciuta universalmente. Lui è stato il primo ad accorgersene e, in un secondo momento, si è messo in moto il sistema giustizia che, con tutti i suoi limiti, è riuscito ad arrivare a Occhionero”.

Un’arringa che ha convinto la giudice Sonia Grassi, che dopo circa un’ora di camera di Consiglio ha emesso il verdetto. Giustizia – quella vera – è stata fatta. Adesso non resta che attendere l’inizio del processo di Appello a Roma a carico dei fratelli Occhionero. In particolare l’ingegner Giulio Occhionero, che al processo di Perugia non si è mai presentato perché oberato di lavoro ad Abu Dhabi, dove oggi vive, avrà così occasione di delineare meglio i contorni di quello che – secondo la sua convinzione – è stato un gigantesco complotto legato a doppio filo al Russiagate.

L'articolo Processo all’hacker: difendersi dal cyberspionaggio non è reato proviene da InsideOver.

Che Elon Musk non perda occasione per lanciare strali contro OpenAI, l’azienda guidata da Sam Altman che lui stesso ha contribuito a fondare, è risaputo. In un recente post affidato a X, Musk ha scritto “Se Apple integra OpenAI a livello di OS allora i dispositivi di Apple saranno vietati nelle mie aziende. Questa è un’inaccettabile violazione di sicurezza”.

Ma di cosa sta parlando il patron di Tesla?

I dubbi di Elon Musk ed Edward Snowden

Recentemente Apple e OpenAI hanno stipulato un accordo che prevede l’integrazione di ChatGPT all’interno di Ios, iPadOS e macOS. Per alcuni un semplice – magari anche scontato – passo verso le vette sempre più alte dello sviluppo tecnologico, per altri, come Elon Musk, un rischio. Al di là di un’acredine personale, il suo post su X lascia intendere il timore che una partnership simile possa inficiare la riservatezza delle informazioni contenute sui dispositivi di marca Apple. Ma Elon Musk non è il solo a nutrire seri dubbi sull’operazione.

Prima di lui, un altro illustre osservatore di dinamiche economiche che possono avere risvolti nella geopolitica si è espresso in modo decisamente critico non tanto verso questa operazione, ma direttamente verso OpenAI. Parliamo di Edward Snowden, l’ex dipendente dell’NSA – la National Security Agency – divenuto celebre nel 2013 per aver diffuso ai media migliaia di documenti riservati che dimostravano come l’agenzia governativa a stelle e strisce avesse messo in piedi un colossale programma di sorveglianza di massa.

Fuggito a Mosca nel giugno del 2013, quando sul suo capo pendeva l’accusa di aver violato l’Espionage Act e di furto verso il governo, e ottenuta la cittadinanza russa nel 2022, è da lì che Snowden – sempre su X – commenta in modo tagliente una notizia altrimenti passata in sordina: la nomina di Paul Nakasone nel consiglio di amministrazione di OpenAI. Ma chi è Paul Nakasone?

Una spia nel cda

Generale dell’esercito in pensione, dal 2018 fino allo scorso febbraio è stato a capo dell’NSA, dove ha contribuito a creare e ha guidato lo United States Cyber Command. Nakasone entra nel colosso tecnologico in prima linea nello sviluppo dell’intelligenza artificiale e al centro di diverse polemiche. Sono in molti – dai privati alle istituzioni – a interrogarsi sul corretto sviluppo dell’IA nei laboratori guidati da Sam Altman. Sulla raccolta dei dati per addestrare ChatGPT e sulla tutela del diritto d’autore, le risposte fornite dall’azienda a chi ne chiedeva conto non sono state chiare. “Stiamo diventando più resistenti alle minacce”, hanno commentato dall’azienda. E in effetti Nakasone porta in dote ad Altman tutto il suo percorso professionale, le sue conoscenze e le sue relazioni. Una mossa strategica che ha fatto storcere il naso a Edward Snowden.

L’avvento del Grande Fratello

Dal suo rifugio all’ombra del Cremlino, Snowden commenta così su X questa nomina: “La nomina del direttore di @NSAGov nel consiglio di amministrazione [di OpenAI] è un tradimento deliberato e calcolato dei diritti di ogni persona sulla terra“. Un post diventato presto virale, in cui l’ex CIA ed ex NSA mette in guardia i followers rispetto all’utilizzo dei prodotti OpenAI. Ora che la fusione con il mondo dello spionaggio – e in questo caso del cyberspionaggio – è completata, il più famoso whistleblower della terra teme la nascita di quello che già Orwell aveva chiamato Grande Fratello. Una nuova era in cui – grazie all’immenso potere generato dal possedere il primato tecnologico sullo sviluppo dell’intelligenza artificiale – il controllo della popolazione civile sarebbe talmente pervasivo da risultare totale. Uno scenario certamente distopico, ma non necessariamente irrealistico.

Beata ignoranza

Elon Musk ed Edward Snowden. Entrambi contro OpenAI, anche se per ragioni diverse. Il primo ha da poco lanciato il suo modello di intelligenza artificiale, Grok, che dovrebbe presto approdare in Europa; il secondo da metà dell’opinione pubblica è considerato un eroe e dall’altra metà un traditore. In mezzo noi, gli utenti. Noi che non importa se OpenAI, NSA, Grok o chissà cos’altro, l’importante è navigare velocemente, sempre più velocemente. Poco importa quel che sarà della nostra privacy, c’è un mare infinito come la rete da scoprire.

L'articolo Snowden e Musk contro OpenAI proviene da InsideOver.

Per i dissidenti cinesi, l’emigrazione ha rappresentato per molto tempo una forma di tutela nei confronti della propria persona, soprattutto quanto il controllo dello Stato oppressore si fa insostenibile. Nella società della digitalizzazione questa difficile scelta rischia di non essere per nulla risolutiva e ora vi spieghiamo perché. L’approccio cinese alla sorveglianza informatica e alle operazioni di hacking è diventato sempre più sofisticato e sfaccettato negli ultimi anni. Il governo cinese impiega una gamma di strategie atte a monitorare dissidenti e minoranze etniche, sfruttando sia le proprie risorse interne che hacker mercenari, una sorta di esternalizzazione del controllo. Ma quali sono i metodi applicati dalla Cina per il monitoraggio informatico? Alcune informazioni sull’esternalizzazione degli attacchi informatici e una fuga di notizie significativa dalla società I-Soon, possono fornirci alcuni aspetti di queste operazioni.

Monitoraggio dei dissidenti e delle minoranze etniche

La Cina ha una lunga storia di monitoraggio dei dissidenti e delle minoranze etniche, come gli uiguri nello Xinjiang, gli attivisti tibetani e i sostenitori della democrazia. Il Partito Comunista Cinese (PCC) utilizza tecnologie di sorveglianza avanzate, tra cui intelligenza artificiale e analisi dei big data, per tracciare i movimenti, le comunicazioni e le attività online degli individui. Uno strumento all’avanguardia di questo arsenale di sorveglianza è la “Piattaforma Integrata di Operazioni Congiunte” (IJOP), utilizzata ampiamente nello Xinjiang. È un sistema in grado di aggregare dati da varie fonti: filmati delle telecamere di sorveglianza, metadati di telefoni cellulari e attività sui social media al fine di segnalare individui “sospetti”. L’IJOP fa parte di una strategia più ampia per identificare e neutralizzare preventivamente le potenziali minacce alla stabilità dello Stato.

Ma non è tutto, il governo cinese è in grado di impiegare anche tecniche di hacking per infiltrarsi nei dispositivi di dissidenti e attivisti. Per farlo sfrutta le vulnerabilità software e hardware. Gli hacker assoldati possono accedere a e-mail, messaggi e file, consentendo al PCC di raccogliere informazioni sulle attività e sui piani dei dissidenti. L’hacking può prendere di mira sia individui all’interno della Cina che all’estero.

Esternalizzazione degli attacchi informatici

Ufficialmente gran parte delle attività informatiche cinesi sono svolte dal Ministero della Sicurezza dello Stato (MSS) che rappresenta la principale agenzia di intelligence e polizia segreta del paese. Tuttavia, dallo scorso aprile 2024 l’esercito popolare di liberazione (PLA) ha sciolto la Forza di Supporto Strategico e ha creato tre nuove forze: la Forza aerospaziale, la forza cyberspaziale e la forza di supporto informativo. Questi tre nuovi corpi, unitamente alla forza congiunta di supporto logistico, fanno tutti capo al PCC. Per tutelare le proprie competenze informatiche Pechino ha sviluppato un proprio protocollo di sicurezza. Il protocollo prevede anche di impedire ai tecnici informatici di condividere competenze con gli stranieri. Ai suoi professionisti, tanto per dirne una, è vietato partecipare alle competizioni internazionali di hacking.

Ma la ristrutturazione degli apparati non è l’unica innovazione, questa riforma coincide con l’utilizzo di hacker mercenari. L’esternalizzazione consente al governo cinese di beneficiare delle competenze e dell’anonimato del settore privato, riducendo il rischio di attribuzione diretta e di reazioni internazionali. Ma chi sono questi hacker mercenari? Gli hacker esterni fanno spesso parte di reti di criminalità informatica che possono vantare ampia esperienza in varie forme di attacchi informatici, tra cui il phishing, distribuzione di malware e minacce persistenti avanzate (APT).

Attraverso la contrattazione con questi gruppi, la Cina può estendere le sue capacità informatiche senza esaurire le risorse interne. Il modello di esternalizzazione fornisce anche una negabilità plausibile. Quando un attacco informatico viene ricondotto a un gruppo di hacker indipendente piuttosto che al governo cinese, si complica il processo di attribuzione e diventa più difficile per le nazioni colpite reagire direttamente contro la Cina. Senza considerare che i gruppi possono compiere delle operazioni sotto falsa bandiera creando tensioni diplomatiche con altri paesi.

La Fuga di Notizie della I-Soon

Nonostante il gigante asiatico possa contare su un’infrastruttura complessa, non è esente dalla fuga di informazioni. È questo il caso della società I-Soon, azienda di sicurezza informatica che ha esposto involontariamente dettagliati registri delle attività di hacking della Cina. A darne la notizia è il The Wall Street Journal. La fuga di informazioni riservate ha rivelato sia come il governo cinese si coordina con gruppi hacker privati, sia i bersagli specifici di queste operazioni. Un’emorragia informativa che ha incluso documenti inerenti comunicazioni interne, contratti e documentazione tecnica ma che ha anche evidenziato l’uso di malware sofisticati, costruiti ad hoc per bersagli specifici. Sono inoltre emersi dettagli sulla pianificazione strategica che si cela dietro le campagne informatiche coordinate.

Dalla fuga di notizie della I-Soon è emersa anche l’importanza che il governo cinese dà al monitoraggio delle minoranze etniche e dei dissidenti. I registri mostravano attacchi mirati contro attivisti uiguri, leader religiosi tibetani e organizzatori pro-democrazia di Hong Kong. Le operazioni non miravano solo alla raccolta di informazioni, ma anche a screditare questi gruppi hackerando le loro comunicazioni e diffondendo disinformazione.

Ma facciamo un passo indietro, cos’è I-Soon? Società fondata a Shanghai nel 2010, il suo Presidente e direttore generale è Wu Haibo, descritto dai cinesi come un hacker patriottico, anche conosciuto con il soprannome di “shutdown”. Tra i maggiori azionisti dell’azienda c’è il colosso cinese Qi An Xin Technology. Stando a quanto riportato in un avviso d’appalto dello Xinjiang datato luglio 2021, I-Soon è stata selezionata per costruire un sistema di difesa per l’ufficio di pubblica sicurezza nella regione di Akusu nello Xinjiang.

Implicazioni e Risposta Globale

Le rivelazioni dalla fuga di notizie della I-Soon hanno avuto implicazioni significative per la sicurezza informatica globale. Le nazioni prese di mira dagli hacker o gruppi di hacker mercenari si sono allertate per rafforzare le difese informatiche e sviluppare strategie per mitigare l’impatto di tali attacchi. L’altra sfida attiene alle preoccupazioni etiche sui diritti umani che la sorveglianza cinese sui dissidenti ha sollevato. Adesso, ovviamente, bisognerà attendere da parte cinese un rapido e, al momento, imperscrutabile cambio di strategia. Insomma, la sfida cyber continuerà ancora a lungo. E forse non avrà mai realmente fine.

L'articolo La Cina è (fin troppo) vicina. Un esercito di hacker mercenari per spiare i dissidenti proviene da InsideOver.

Del processo che si sta svolgendo a Perugia a carico di Federico Ramondino, esperto di sicurezza informatica, vi abbiamo raccontato tutto: i retroscena, le contraddizioni, i tecnicismi. Un processo che inizialmente sembrava dovesse armare una carica capace di far saltare pezzi grossi delle istituzioni ma che alla fine, come fosse un pacco ordinato su discutibili shop online, è arrivato in brutta copia. L’udienza dello scorso 24 aprile ha visto la testimonianza del Consulente Tecnico della parte civile, proprio quella parte civile che in aula non si è mai presentata se non attraverso il suo legale e che può guardare questa storia dai grattacieli di Abu Dhabi. Di cosa stiamo parlando? Ora ve lo rispieghiamo bene.

Eye Pyramid e l’inizio del processo

È il 2017 quando la Procura di Roma e il Cnaipic (il Centro anticrimine informatico per la protezione delle infrastrutture critiche), disarticolano la più grande operazione ad oggi nota in Italia di cyber spionaggio. L’indagine porta all’arresto dei fratelli Giulio e Francesca Maria Occhionero con l’accusa di aver esfiltrato un’enorme quantità di dati sensibili attraverso l’ormai famigerato malware Eyepyramid. Le vittime del malware sono sensibili per gli apparati dello Stato: non solo professionisti di vari settori, prelati ed esponenti della massoneria, ma anche le nostre infrastrutture critiche (come il Porto di Taranto e la Regione Lazio) e diversi ministeri (Affari esteri, Interno, Grazia e giustizia e altri).

Ben presto gli accusati passano al contrattacco. Giulio Occhionero, che attualmente risiede ad Abu Dhabi, denuncia alla Procura di Perugia il magistrato Eugenio Albamonte e gli allora vertici del Cnaipic. La Procura di Perugia, allora guidata dal procuratore capo Luigi De Ficchy, si muove e, dopo una breve parentesi iniziale, affida le indagini alla pm Gemma Miliani. Le indagini coinvolgono anche il consulente tecnico Federico Ramondino che, su mandato diretto della Procura di Roma e del Cnaipic, aveva aiutato gli inquirenti nell’analisi del malware.

È proprio questo il punto che rappresenta il nocciolo della questione. Sia Albamonte sia i vertici del Cnaipic escono di scena già nell’udienza preliminare, il 17 gennaio del 2020. L’unico a rimanere invischiato in questa faccenda è il Consulente informatico Ramondino. Per Giulio Occhionero stesso, che in questo processo è parte civile ma che non ha mai varcato la soglia dell’aula, il procedimento ha perso completamente di spessore. A dimostrarlo, una mail inviata alla Procura di Perugia in cui Giulio Occhionero afferma “il fatto che Ramondino sia rimasto ora il solo imputato in questo procedimento, non è dovuto alla mancanza di cooperazione da parte del sottoscritto, ma è dovuto alla forte carenza di impulso investigativo da parte della Procura di Perugia, oltre che all’evidente trattamento di favore di cui hanno goduto gli imputati nelle sedi giudiziarie” [il riferimento è al magistrato Albamonte e ai vertici del Cnaipic].

Non importa quante testimonianze ci siano state in favore del consulente Ramondino: dagli addetti alla sicurezza informatica di Eni ed Enav, al Cnaipic; dallo stesso dottor Eugenio Albamonte, ad alcuni dei più rinomati esperti del mondo cyber, tra cui l’ingegner Gianfranco Tonello, autore dell’unico antivirus italiano in commercio: Virit Explorer. Secondo l’accusa, bisogna proseguire per i reati come accesso abusivo a sistema informatico, danneggiamento di dati, detenzione e diffusione abusiva di dati d’accesso.

La relazione di Mattia Epifani

L’udienza del 24 aprile ha visto la testimonianza del Consulente Tecnico nominato da parte civile, dottor Mattia Epifani, noto professionista ed esperto del settore. Ma partiamo dall’inizio: Giulio Occhionero sostiene di essere vittima di un complotto volto a incastrarlo. La Procura di Perugia, che inizialmente indaga su questo presunto complotto, non ha poi proceduto in quella direzione (provocando lo scontento della parte civile), ma ha contestato a Ramondino l’accesso abusivo a sistemi che comunque non erano riferibili ai fratelli Occhionero e che durante le varie udienze è emerso essere di nessuna proprietà, in quanto abbandonati o non riferibili a persone fisiche. In questo contesto, la difesa dell’ingegner Occhionero ha continuato ad adombrare il sospetto che il ruolo di Ramondino sia stato ben più significativo in tutta la vicenda, instillando il dubbio che abbia fabbricato – insieme ad altri soggetti allo stato non identificati – alcune prove che hanno incastrato il loro assistito.

Il 24 aprile scorso il CT Mattia Epifani ha esposto in aula le sue relazioni: una incentrata sull’operato della Mentat (azienda guidata da Ramondino all’epoca dei fatti) e una incentrata sull’intercettazione dati e sul materiale rinvenuto sui computer di Giulio Occhionero. A fronte delle anomalie che Epifani ritiene di aver riscontrato, con grande onestà intellettuale, ha anche chiarito diversi punti fondamentali di questa vicenda:

1. Gli accessi abusivi contestati a Ramondino riguardano account le cui credenziali erano contenute nel malware e utilizzate dal malware per il suo funzionamento. Dunque, analizzando EyePyramid, Ramondino non poteva non entrare in contatto con queste credenziali, disponibili anche per altre aziende e ricercatori che hanno analizzato il virus (aspetto già precedentemente chiarito, ma il fatto che stavolta sia il consulente di parte civile a dirlo assume un valore diverso).
2. Il fatto che Ramondino, durante l’analisi del malware, si sia spacciato per funzionario o agente di polizia, come sostenuto dalla difesa di Occhionero, è stato smentito dalla traduzione in aula della corrispondenza mail intercorsa tra la Mentat e la After Logic, azienda che aveva venduto un componente utilizzato dal malware.
3. L’infrastruttura di EyePyramid non faceva riferimento a un unico server, ma a una serie di aree create appositamente dal malware. Questo aspetto è importante perché da una connotazione diversa agli accessi “abusivi” che si attribuiscono alla Mentat. Alcuni account venivano creati direttamente dal malware, altri venivano “colonizzati” e utilizzati in modo abusivo da EyePyramid.
4. L’attività di analisi condotta da Mentat, per quanto molto complessa, è “determinata e ricostruibile” a differenza di quanto sostenuto dal consulente tecnico della pm.
5. L’email inviata a Enav – che la difesa di Occhionero sostiene essere stata fabbricata – non è riconducibile a nessun soggetto, in quanto inviata tramite la rete Tor (il browser per navigare nel Darkweb).
6. La modifica del numero di telefono che l’accusa ritiene essere stata effettuata su un account violato dal virus e che viene attribuita a Mentat è, come detto da Epifani, “improbabile”. 

La relazione di Paolo Dal Checco

Nella stessa giornata, ha parlato anche il consulente tecnico della difesa: il dottor Paolo Dal Checco, stimato e riconosciuto professionista del settore, il quale oltre a ribadire e confermare alcune delle cose dette da Mattia Epifani – e che vanno a beneficio dell’imputato –  ha confermato che l’accesso alle aree del virus era necessario non solo per poter seguire il percorso del malware e analizzarlo, ma per ricavarne anche gli indicatori utili per proteggere i sistemi e prevenire ulteriori infezioni. Tradotto: non poteva essere fatta un’analisi del malware senza accedere a quelle aree che l’accusa ritiene violate da Ramondino. Ma c’è di più: Ramondino non è il solo ad essere entrato in quelle aree. Tutte le vittime di EyePyramid, infatti, accedevano inconsapevolmente alle stesse aree che il virus utilizzava per il proprio funzionamento.

Nella relazione di Dal Checco viene anche spiegata un’altra questione dirimente: l’accusa sostiene infatti che la Mentat abbia diffuso i dati che il virus aveva sottratto alle vittime, distribuendoli a non si capisce bene chi, né per quali finalità. In realtà, la ricostruzione di Dal Checco ha evidenziato che solo un campione di dati è stato fornito alle autorità, nello specifico al Cnaipic. Come se qualcuno venisse accusato di ricettazione dopo aver riconsegnato in commissariato una borsetta scippata a qualcuno e ritrovata per strada.

Dal Checco, come precedentemente fatto anche da Epifani, ha poi fatto chiarezza su un termine che è stato spesso utilizzato in maniera errata nel corso delle udienze, a sottolineare l’estrema competenza necessaria a trattare una materia tanto specifica: parliamo del “Brute Force”, letteralmente la forza bruta. Con questo termine si è fin ora attribuito agli analisti di Mentat l’aver effettuato degli attacchi finalizzati a forzare degli account. In questa udienza si è finalmente chiarito il vero significato, in questo contesto, del termine che la stessa Mentat utilizza nel suo report: non un attacco contro un servizio o un soggetto, ma l’applicazione di un algoritmo che ha consentito di decifrare le parti del virus crittografate.

L’Italia a rischio ma anche chi la difende

Non è certo un segreto che l’Italia sia uno dei Paesi europei a ricevere più attacchi informatici. In quanto Paese sul mediterraneo e forza economica non da poco, l’Italia è al centro di una “guerra cyber” che non conosce confini. Uno dei motivi per il quale non smettiamo di raccontarvi questa storia è semplice: se prestare la propria competenza al Paese significa difendersi da pesanti accuse, affrontare anni di processi ed essere dimenticato dai media, su quante persone come Federico Ramondino potremo contare quando ne avremo bisogno?

Il verdetto

Il prossimo 19 giugno ci sarà la sentenza di assoluzione o di condanna per l’analista della Mentat e nel disinteresse generale continueremo a seguire questa vicenda. Nel frattempo, il nostro mondo continua a essere sempre più digitalizzato e per difendersi dal numero crescente di attacchi informatici la nostra intelligence ha aperto un bando per la ricerca di esperti dal mondo della società civile. Ma questo non vuol dire che possiamo dimenticarci di chi, nella trincea per difendere il sistema Paese, è già sceso rischiando di pagare un prezzo troppo alto.

L'articolo Cyber spionaggio: vai in trincea a difendere l’Italia e ti colpisce il fuoco amico proviene da InsideOver.