Post

Phishing, furti d’identità, censura: contro giornalisti e attivisti attacchi online sempre più sofisticati

3 Maggio 2020 25 min lettura

author:

Phishing, furti d’identità, censura: contro giornalisti e attivisti attacchi online sempre più sofisticati

24 min lettura

Il primo attacco è arrivato nell’aprile 2019. Fizza Eydarova, redattrice della testata d’opposizione azera Azadliq.info, se n’è accorta da una notifica di Facebook: qualcuno stava accedendo al suo profilo da un indirizzo IP sconosciuto della compagnia telefonica AzerTelecom. Ma la situazione era più grave di quanto appariva a prima vista. Infatti questo qualcuno era già riuscito a entrare nella casella di posta Gmail della donna e ora stava reimpostando la sua password sul social network. Non solo: cercando nella mail, l’intruso aveva trovato anche le credenziali del sito Azadliq.info con cui era entrato nell’area amministratori per poi installare delle backdoor, dei software che mantengono aperta una via di accesso a un sistema.

Non sono stati gli unici attacchi subiti da Fizza Eydarova in quel periodo. Riceve anche degli SMS, che simulano di essere degli avvisi di sicurezza di Facebook - e le chiedono di cambiare password, con un link che la manda a un finto modulo di login del social network. E simili tentativi anche sul suo profilo Telegram.

«Ma quelli sono stati i primi. Sia Gmail che Facebook sono stati violati, ma allora sono riuscita a recuperarne il controllo. Poi gli attacchi sono diventati più frequenti, quasi ogni giorno. Mi arrivavano anche via SMS. Il loro obiettivo era ottenere le credenziali del sito di informazione e del suo canale YouTube. Ma il peggio era quando, subito dopo una violazione, scrivevano a mio nome ai miei contatti», racconta a Valigia Blu Eydarova. «Tali attacchi sono continuati fino alla fine dell’anno, quando mi è arrivato un messaggio da un amico e collega, che mi chiedeva di andare su un link. Senza sospettare nulla ci sono andata, la mia password è stata violata di nuovo ma anche il mio computer è stato infettato».

Phishing in Azerbaigian
Profili finti, furti di identità
Un quadro legale repressivo
Attacchi informatici ai siti
Il caso Caruana Galizia
Gli attacchi digitali sono un campanello d’allarme
Phishing e censura stanno diventando più sofisticati
Il mercato degli spyware
Media impreparati
La cybersicurezza sul campo

Phishing in Azerbaigian

La storia di Fizza Eydarova è un esempio di come le campagne di phishing contro giornalisti critici delle autorità e difensori dei diritti umani in Azerbaigian stiano diventando più mirate e sofisticate, è scritto in un’analisi dello scorso marzo della fondazione svedese Qurium, che offre una serie di servizi di protezione digitale ai media. “Il numero di vettori di attacco usati, il fatto che si siano protratti per mesi mostrano un certo livello di determinazione e impegno”, prosegue il report. Inoltre sono lanciati impunemente da una serie di indirizzi IP che appartengono a uno dei maggiori provider internet del Paese, AzerTelecom, sostiene Qurium.
«È chiaro che sono dei professionisti», commenta ancora Eydarova. «Dopo le prime violazioni erano state prese alcune contromisure, ma gli attacchi sono continuati. In un certo senso è anche un modo per intimidire. Così facendo puoi anche avere accesso alle mie informazioni e corrispondenze personali. Molte volte in Azerbaigian i giornalisti sono ricattati».

Non è un caso unico né raro nel Paese caucasico. Da un anno a questa parte Qurium ha registrato un numero crescente di attacchi di phishing (che cercano di rubare dati, password, o infettare un dispositivo, inviando email o comunicazioni fraudolente) contro media indipendenti e difensori dei diritti umani. Ad esempio, nel gennaio 2020 qualcuno ha creato degli account email che simulavano di appartenere a noti giornalisti, attivisti e membri del Consiglio d’Europa. Le mail includevano link a un noto servizio di trasferimento file, WeTransfer, dove era caricato quello che appariva come un report o una fattura. In realtà erano dei file malevoli. I malware così veicolati erano in grado di raccogliere le credenziali Wi-Fi, quanto digitato sui tasti, di fare screenshot dello schermo; altri arrivavano a prendere completamente il controllo del computer della vittima.

Gli attaccanti hanno finto di essere in un caso Rasul Jafarov, un avvocato e attivista dei diritti umani molto noto - e sottoposto nel suo Paese ad azioni penali per ritorsione, secondo la stessa Corte europea dei Diritti dell’Uomo - e hanno mandato la comunicazione a suoi colleghi e attivisti.
Non è la prima volta che qualcuno finge di essere Jafarov per infettare altri attivisti. Già nell’ottobre 2016 era stato scoperto un tentativo simile, documentato in un report di Amnesty del 2017. Qualcuno aveva creato un indirizzo Gmail che sembrava quello del dissidente con un documento allegato funzionante, una lista di prigionieri politici. Solo che trasmetteva un virus. Quella mail era parte di una più vasta campagna di phishing mirato (spear phishing) contro attivisti azeri durata ben 13 mesi e basata sulla simulazione di identità di persone note, scriveva nel 2017 Amnesty.

Ma andiamo avanti, al gennaio 2020. Oltre ad aver di nuovo sfruttato l’immagine di Jafarov, in un altro caso gli attaccanti hanno simulato di essere Roberto Fasino, capo del segretariato della Commissione per la cultura, la scienza, l'istruzione e i media del Consiglio d’Europa, che è una organizzazione per la diffusione della democrazia e dei diritti umani sul continente (include 47 Stati membri, tra cui i membri dell'Unione europea, e lo stesso Azerbaigian). Anche qui la mail includeva un link di download via WeTransfer di un documento intitolato Report-2019, ed era rivolta ad attivisti azeri, scrive Qurium, che sostiene come i due attacchi appena citati mostrerebbero collegamenti a infrastrutture del ministero dell’Interno azero.

«Mi dispiace apprendere che la mia mail sarebbe stata usata per cercare di ingannare le persone. Purtroppo utilizzare mail che “copiano” quelle di persone conosciute è una delle modalità tipiche e noi stessi riceviamo spesso tentativi di phishing», commenta a Valigia Blu Roberto Fasino. Che conferma di aver avuto (insieme ad altri colleghi) rapporti con giornalisti e/o attivisti azeri, anche se non può dare dettagli. «Più in generale, nel corso dei lavori preparatori sui rapporti relativi alla libertà d’informazione e dei media, invitiamo sempre diverse organizzazioni a delle audizioni. Questo è un dato pubblico. In particolare abbiamo contatti frequenti con le organizzazioni non governative che sono partner della piattaforma per la protezione del giornalismo. Non abbiamo avuto, almeno fino a poco tempo fa, allerte relative ad attacchi sistematici di phishing contro giornalisti e media. Se ci sono elementi che portano a credere che questa strategia si sta sviluppando, sarà molto interessante saperlo perché le minacce contro la libertà dei media sono una questione prioritaria per la nostra Commissione e per il Consiglio d’Europa».

Profili finti, furti di identità

Succede spesso che attivisti di spicco siano imitati (con la creazione di finti profili che simulano di appartenere a loro) per mandare mail e messaggi ad altri; lo stesso vale per giornalisti di testate internazionali, le cui identità sono usate per rubare credenziali o infettare vittime, spiega a Valigia Blu Claudio Guarnieri, noto ricercatore di sicurezza informatica e capo del Security Lab di Amnesty International. Il risultato è che poi altri attivisti hanno il loro account violato, «i loro profili sui social media sono rubati, e i loro materiali privati sparpagliati online attraverso campagne coordinate su Twitter e Facebook, che amplificano l’odio contro di loro».

«Abbiamo notato spesso che gli attacchi contro ONG e loro membri puntano a sottrarre le credenziali dei social network», commenta a Valigia Blu Gillo Cutrupi, trainer per la Digital Defenders Partnership, progetto finanziato da varie organizzazioni e Paesi (tra cui, ma non solo, Svezia, Olanda, Canada, Usa) per aiutare attivisti dei diritti umani a rischio di aggressioni digitali. «Inoltre molti attacchi sono portati avanti simulando di essere altre persone con cui sono in contatto attraverso la tecnica dell’impersonation (furto di identità). Questo avviene rubando o simulando i profili di altri, o anche fingendo di essere giornalisti. Ma è molto diffusa anche l’infiltrazione in gruppi privati su Facebook. Sono molto esposti anche i siti e le app di dating, specie in Paesi dove l’omosessualità è illegale. A volte questi siti sono usati come delle trappole per poi arrestare le vittime al momento dell’appuntamento».

Un quadro legale repressivo

Gli attacchi informatici provenienti da sconosciuti o comunque da soggetti non chiaramente identificabili si mescolano in alcuni contesti con un quadro legale che sanziona la pubblicazione di articoli, accusati di violare leggi particolarmente repressive.
Negli ultimi anni in Azerbaigian alcuni siti di informazione si sono ritrovati improvvisamente bloccati, per decisione delle autorità. Nel 2017 ad esempio lo stesso Azdaliq.info e un altro sito, Azdaliq.org (legato all’organizzazione americana Radio Free Europe/Radio Liberty), sono stati resi inaccessibili per un periodo. Proprio dal marzo 2017 il governo “ha progressivamente ristretto l’accesso a siti, soprattutto quelli associati all’opposizione o a inchieste su temi politicamente sensibili come la corruzione statale. Durante questo periodo, il governo ha bloccato dozzine di siti”, scrive il rapporto 2019 sulla libertà della Rete dell’organizzazione Freedom House. Nel giugno 2018 la Corte Suprema si è espressa a favore della decisione del 2017 del governo di bloccare diversi media, tra cui quelli citati sopra, per questioni di sicurezza nazionale o perché avrebbero promosso odio, violenza o estremismo, o perché avrebbero violato le leggi sulla privacy.

«Negli ultimi anni sono aumentate le forme di persecuzione digitale, e sono cresciute con la diffusione dei social media e dei media online, che hanno iniziato a guadagnare slancio dopo che le autorità hanno chiuso giornali ed editori tradizionali, introducendo ogni tipo di cavillo legale per limitare il lavoro della società civile nel paese», ha commentato a Valigia Blu la giornalista azera Arzu Geybulla, che gestisce un osservatorio sulla censura internet nel paese, Azerbaijan Internet Watch.

Attacchi informatici ai siti

In questo contesto, anche legalmente difficile, non mancano gli attacchi informatici veri e propri che mirano a rendere inagibili i siti di informazione. Nell’agosto 2019 proprio un sito sui diritti umani fondato dal già citato Rasul Jafarov ha subito un pesante attacco DDoS (di negazione distribuita del servizio, in pratica lo si sommerge di richieste per farlo andare offline). Tutto ciò, sostiene Qurium in un’altra analisi, sarebbe avvenuto dopo la pubblicazione, da parte del sito, di un articolo sulla SOCAR, la compagnia petrolifera di Stato azera. In questo caso gli attaccanti avrebbero usato uno specifico servizio commerciale, FineProxy con cui lanciare i DDoS. FineProxy permette ai suoi clienti di accedere a una quantità di proxy e, sebbene dica di bloccare gli abusi della sua infrastruttura, Qurium ritiene che questi continuino ancora adesso.

Proprio lo scorso marzo un altro attacco DDoS veicolato attraverso tale servizio avrebbe colpito un altro sito di news azero, Timetv.live, hanno scritto pochi giorni fa i ricercatori. I quali sostengono che nei due anni precedenti ci sarebbero stati diversi attacchi di questo tipo che prendevano di mira media e contenuti critici di SOCAR. Ad esempio, nel 2018 altri due siti di informazione, Gununsesi.info e il già citato Azadliq.info, sarebbero stati colpiti proprio con un DDoS, che Qurium riconduce allo stesso servizio, FineProxy. Per altro Azadaliq.info e altri siti d’opposizione come Azbas.net avevano ricevuto dei pesanti attacchi DDoS già nel marzo 2017, e allora sarebbero arrivati invece da undici server dedicati, alcuni dei quali connessi con attività governative, almeno secondo la tesi dei ricercatori.

In pratica, alcuni di questi siti di informazione critica, nello stesso periodo, subiscono sia attacchi informatici sia blocchi governativi. Ad esempio, nota sempre il rapporto della ONG Freedom House, uno di questi, Radio Free Europe (Azdaliq.org), poco prima di essere bloccato aveva scritto degli “affari finanziari di individui vicini al presidente Aliyev, inclusa la sua famiglia, in collaborazione con un progetto di giornalismo investigativo, l’Organized Crime and Corruption Reporting Project (OCCRP). Più avanti, nel corso dell’anno, il sito di OCCRP veniva a sua volta bloccato dopo aver pubblicato una inchiesta intitolata The Azerbaijan Laundromat (la Lavanderia Azerbaigian), che accusava il governo di vari schemi di lobbying e riciclaggio”.

Il caso Caruana Galizia

Anche la giornalista investigativa maltese Daphne Caruana Galizia che, prima di essere uccisa da un’autobomba nell’ottobre 2017, stava lavorando a tempo pieno a una inchiesta sulle presunte attività illecite di alcuni membri di spicco del governo, di una società dell’energia maltese e della società petrolifera azera (come dichiarato da suo figlio Matthew), nel marzo 2017 aveva ricevuto alcuni attacchi informatici più pesanti del solito. In particolare un forte attacco DDoS, “senza precedenti per scala” lo aveva definito il proprietario della società che gestiva l’hosting del sito della giornalista, David Thake, aggiungendo che aveva messo in ginocchio il loro network.

Leggi anche >> Chi era Daphne Caruana Galizia e su cosa stava lavorando la giornalista uccisa a Malta

«Ricordo bene quell’attacco. È durato quasi tre giorni in ondate. Era un DDoS, quindi non una singola fonte di attacco ma migliaia. Saturò la nostra banda e colpì i firewall», commenta Thake a Valigia Blu. «Gli attacchi DDoS erano comuni sul suo sito. Ma questo è stato di gran lunga il più potente e quello che è durato di più».

Pochi giorni prima, c’era stato anche un tentativo di simulazione d’identità. Qualcuno, fingendosi Caruana Galizia - dopo aver creato una casella di posta col suo nome su Gmail - aveva mandato una comunicazione alla società che gestiva il supporto per il suo sito, cercando di spacciarsi per la giornalista e chiedendo dei cambiamenti ai server DNS col probabile intento di ottenere il controllo della sua posta e del sito. Ma i destinatari si resero conto dell’inganno e avvisarono la giornalista.

«Di email di phishing ne riceveva tante», commenta a Valigia Blu Matthew Caruana Galizia, figlio di Daphne e a sua volta giornalista investigativo che ha collaborato con l'International Consortium of Investigative Journalists (ICIJ), vincitore del premio Pulitzer per i Panama Papers. «Una volta ci fu anche uno che finse di essere la persona che gestiva la pubblicità per il blog di mia madre e che cercò di farsi dare una password per il server attraverso una email contraffatta. Questo tentativo era più sofisticato perché presupponeva una certa intelligence, dato che il nome di quella persona non era di dominio pubblico». Anche Matthew dice di ricevere molte email di phishing mirato, cioè attacchi personalizzati, oltre a una esorbitante quantità di richieste di amicizia da parte di profili finti, in genere di donne, sui social. “In certi periodi anche 20 al giorno”.

L’inchiesta sull’assassinio di Daphne Caruana Galizia ancora non è arrivata a inchiodare i mandanti. Negli ultimi mesi però sono emersi nuovi dettagli anche sulla campagna d’odio, diffamazione e molestie cui veniva sottoposta la giornalista quando era ancora in vita (e anche dopo). Li hanno documentati diverse inchieste della testata The Shift e della sua fondatrice, Caroline Muscat, che recentemente ha testimoniato al riguardo nell’inchiesta pubblica nata per indagare se l’assassinio di Caruana Galizia poteva essere evitato. Questa campagna d’odio e disumanizzazione online avveniva principalmente sui social, come Facebook, attraverso “gruppi chiusi pro-Labour (il partito al governo, ndr) che erano perfino amministrati da dipendenti del ministero della Giustizia”, scrive The Shift.

Leggi anche >> Due anni senza colpevoli per l’omicidio di Daphne Caruana Galizia

Tanto che prima di essere uccisa la stessa giornalista soffriva per l’ansia di subire attacchi online ogni volta che pubblicava un post sul suo blog, come riportato da Bloomberg in passato. C’è chi ha definito questo tipo di campagne “trolling di Stato”, dove il trolling è però già una riduzione delle sue implicazioni, perché queste molestie online coordinate preparano il terreno a minacce, intimidazioni e attacchi fisici.

Gli attacchi digitali sono un campanello d’allarme

«Dal nostro osservatorio in cui collaboriamo con giornalisti investigativi che continuano il lavoro di reporter minacciati dobbiamo essere particolarmente cauti», commenta a Valigia Blu Laurent Richard, fondatore del progetto Forbidden Stories, che porta avanti inchieste interrotte perché chi le stava facendo è stato assassinato o imprigionato. Una di queste è proprio il Daphne Project, che prosegue il lavoro di Daphne Caruana Galizia. «Purtroppo scopriamo sempre nuovi modi di infettare dispositivi. A volte dobbiamo ricorrere a stratagemmi giornalistici di vecchia scuola invece di mandare mail alle persone. Il punto è che gran parte dei giornalisti sono presi di mira perché sono isolati; e proprio perché sono isolati sono a rischio, e non sono sempre consapevoli delle pratiche migliori per comunicare, né adottano i comportamenti più sicuri».

D’altra parte, spesso, l’attacco informatico è una spia, un allerta. «Se gli attacchi informatici sono mirati, allora raramente sono fatti isolati», precisa ancora Guarnieri. «Vuol dire cioè che ci sono pressioni di altra natura, casi legali già in piedi contro questi soggetti, un interesse definito verso di loro. Gli attacchi si inseriscono quindi in altre dinamiche già esistenti, e in tal caso possono anticipare azioni contro la persona, che a seconda dei contesti possono essere arresti o altre forme di pressione». È quanto accaduto all’attivista degli Emirati Ahmed Mansoor, che dopo aver ricevuto negli anni tre diversi spyware, software spia (prodotti da tre diverse aziende occidentali che vendono a governi e intelligence questi strumenti, alcuni dei quali molto costosi, tanto che lui era stato ribattezzato “il dissidente da 1 milione di dollari”), è stato poi arrestato nel 2017 e ancora adesso si trova in prigione, in isolamento, a scontare una pena di dieci anni per il reato di “offesa allo status e al prestigio degli Emirati Arabi Uniti e dei suoi simboli, compresi i suoi leader”, malgrado le proteste delle organizzazioni internazionali.

Quando gli attacchi digitali sono condotti anche attraverso degli aiuti nel mondo offline, o si incrociano con minacce o sorveglianza fisica, allora l’allerta deve essere massimo. È il caso di una attivista per i diritti umani pachistana, Diep Saeeda, che dal 2018 ha iniziato a ricevere una serie di cyberattacchi dopo aver promosso una campagna pubblica sulla scomparsa di un altro volontario. L’aspetto più inquietante è però che in alcuni casi questi attacchi informatici sono stati veicolati attraverso persone realmente esistenti, che l’hanno prima avvicinata nel mondo fisico per conquistarne la fiducia, e poi l’hanno bombardata online con messaggi che nascondevano software malevoli. In un caso, uno di questi profili online era quello di una studentessa, o presunta tale, che si era prima presentata in ufficio da lei, chiedendo aiuto per una tesi che stava facendo. E poi, dopo averle chiesto l’amicizia su Facebook, le mandava dei capitoli da leggere che però contenevano dei malware. «Quando ci si rende conto che è in atto questo livello di attenzione, la preoccupazione e le precauzioni crescono di conseguenza», spiega Guarnieri commentando il caso di Saeeda, citato in un rapporto di Amnesty sulla sorveglianza digitale di attivisti. Ma anche quando non si traducono in minacce dirette all’incolumità, queste campagne digitali riescono a interferire sul lavoro delle vittime. Come testimoniato dalla stessa Saeeda, da allora ogni volta che apre una email ha paura, e questo ha un impatto sulle sue attività.

Lo scorso febbraio i redattori di alcune testate alternative e d’opposizione filippine raccolte nel gruppo AlterMidya hanno festeggiato la risoluzione amichevole di una controversia legale che li aveva visti protagonisti. Alcune testate del network - tra cui il sito Bulatlat - avevano avviato un’azione civile contro due aziende tech filippine accusate di essere state il tramite di una serie di attacchi DDoS. Ma le due aziende hanno affermato di impegnarsi perché questo non succeda più e di sostenere la libertà di stampa, per cui la causa è stata ritirata. Ma cosa era successo?

«Il nostro sito è andato offline nel dicembre 2018 a causa di quello che vari esperti di sicurezza digitale hanno identificato come attacco DDoS», commenta a Valigia Blu Ronalyn Olea, caporedattrice di Bulatlat, una testata che è particolarmente critica verso le politiche del presidente Duterte. L’attacco è andato avanti per tre mesi. «Bulatlat è sempre stato coerente nel dare spazio a storie sui diritti umani e alla loro violazione nelle Filippine», continua Olea. «A dicembre 2018 avevamo pubblicato un articolo sul movimento di guerriglia, mentre fra gennaio e marzo 2019 (sempre periodo degli attacchi, ndr) avevamo scritto dell’uccisione di alcuni dissidenti, indigeni e contadini».

Olea è convinta che questi attacchi siano collegati al governo. «Sempre a causa del suo giornalismo indipendente e coraggioso, Bulatlat è stato etichettato dalle forze di sicurezza come un’organizzazione comunista. Questo genere di etichettatura (red tagging, si chiama, cioè identificare qualcuno come un comunista o al servizio di comunisti) è un’altra forma di aggressione, un modo per distruggere la nostra credibilità. Il red tagging nelle Filippine in genere precede interventi violenti come arresti o uccisioni», prosegue Olea, aggiungendo di aver subito, come Bulatlat, anche sorveglianza fisica e minacce online.
Riguardo ai DDoS, «ovviamente in quanto media indipendente e no profit abbiamo poche risorse per fronteggiarli, ma abbiamo trovato persone e organizzazioni che ci hanno aiutato». La già citata Qurium è una queste. Questa fondazione fornisce un servizio specifico di hosting per resistere a DDoS a un centinaio di siti sui diritti umani o di informazione nel mondo. Lavora in Paesi come Azerbaigian, Sri Lanka, Myanmar, Ruanda, e Nigeria.

«I DDoS sono uno degli strumenti principali usati contro siti di giornalismo investigativo; abbiamo visto un loro incremento specie dopo la pubblicazione di contenuti rivelatori», commenta a Valigia Blu Ester Eriksson, direttrice di Qurium. «Nel caso dei nostri partner, gli attaccanti di solito appartengono a una di queste categorie: governi; “hacker” (il cui livello tecnico è in realtà abbastanza basso) filogovernativi, leali alle autorità, che però affittano dei servizi DDoS di altri, i cosiddetti booter; aziende che chiedono ad altri di colpire dei giornalisti investigativi».

Phishing e censura stanno diventando più sofisticati

Eriksson sottolinea anche come contro attivisti e singoli giornalisti stiano aumentando episodi di phishing più elaborato, e veicolato in molteplici modi (via email, SMS, messaggi Facebook, ecc). Una tendenza sottolineata anche da Claudio Guarnieri. «Negli ultimi due anni abbiamo visto un revival di campagne di phishing perché si sono sviluppate tattiche più sofisticate per portare avanti queste azioni anche nel caso in cui le vittime facciano uso di autenticazione a due fattori», spiega il ricercatore italiano. L’autenticazione a due fattori è una misura di sicurezza che permette di aggiungere la richiesta di un codice oltre alla propria password quando si entra nella propria mail o in un profilo social: il codice può essere ricevuto via SMS, generato da una app del telefono o da uno strumento hardware, come le chiavette YubiKey. «Queste campagne sono tutte equipaggiate con la capacità di aggirare le forme più comuni di autenticazione a due fattori. C’è stato un avanzamento tecnico degli attaccanti, una automatizzazione del processo, da un lato; dall’altro proprio la narrativa comune fra gli attivisti per cui con l’autenticazione a due fattori potevi stare tranquillo ha portato le persone a essere meno caute».

Purtroppo, anche se l’autenticazione a due fattori aiuta, non rende immuni. «L’unica cosa che resiste a questi attacchi più avanzati sono le chiavette, come le Yubikey. Negli altri casi gli attaccanti creano un sito finto che fa da proxy (si mette in mezzo fra l’utente e il sito reale in cui autenticarsi, ndr) e intercettano le chiavi di sessione, il tutto in modo automatico, non c’è una persona che le immette manualmente nel sito finale». Una campagna di questo tipo è stata rilevata in Uzbekistan nel 2019 contro attivisti per i diritti umani, come documentato da Amnesty e dalla ONG canadese eQualitie. Un’altra campagna che impiegava queste tecniche avanzate di phishing (ed altre ancora che usano come esca delle richieste di autorizzazioni ad applicazioni di terze parti sul proprio account Google) è stata rilevata, sempre da Amnesty, in Medio Oriente e Nord Africa tra il 2018 e il 2019.

Censura dei siti e attacchi con malware ai giornalisti sono due delle tendenze evidenziate da Rysiek Rashiq, del già citato Organized Crime and Corruption Reporting Project (OCCRP), progetto di giornalismo investigativo con un focus su corruzione, specie in Europa orientale, Caucaso e Asia centrale. «Siamo stati bloccati in Azerbaigian e lo siamo ancora ora, proprio perché abbiamo scritto molto di quel Paese. Diciamo che la censura statale è diventata più efficace negli anni, nel senso che anche governi con meno risorse sono in grado di bloccare siti sgraditi», commenta a Valigia Blu Rashiq. La diffusione di connessioni cifrate (Https) che offuscano la destinazione dell’utente aveva reso più difficili precedenti tecniche di censura. Ma questo ostacolo si può a sua volta aggirare facendo ispezionare all’Isp i pacchetti inviati dal browser di un utente al server al momento dell’autenticazione, perché in questa fase è possibile estrarre il nome di dominio cui si vuole connettere l’utente. Si chiama SNI filtering. «Abbiamo visto ad esempio un tipo di censura più avanzata, basata su SNI filtering, adottata da alcuni regimi. Pensiamo che in Azerbaigian possa essere una delle tecniche usate», aggiunge Rashiq. Questo tipo di censura è stata in effetti rilevata in vari Paesi, dall’Egitto all’Iran, secondo i dati dell’osservatorio anticensura OONI. In quanto alle tecnologie per fare ispezione dei pacchetti (DPI), l’Azerbaigian si procura gli apparecchi necessari per farla da aziende estere, come scriveva tempo fa la stessa Qurium.

Il mercato degli spyware

«Gli attacchi sono diventati più avanzati anche nell’invio di malware mirato, che anche noi abbiamo ricevuto, in campagne preparate specificamente per colpire OCCRP», prosegue Rashiq. «Questo è un problema che viene esacerbato dalle esportazioni di tecnologie di sorveglianza da nazioni cosiddette sviluppate. Molti governi di Stati più piccoli hanno ora le capacità di eseguire attacchi con software malevoli grazie all’assenza di restrizioni sull’export di strumenti di sorveglianza sofisticati (software e hardware) da parte di paesi come la Germania, la Gran Bretagna, Israele o l’Italia (per dirne solo alcuni). Si tratta di un problema enorme che spesso viene del tutto ignorato nei dibattiti pubblici sulla cybersicurezza».

Sugli spyware, software spia, trojan, che infettano un dispositivo e ne intercettano le attività trasformandoli a volte in una cimice vera e propria (chiamate, chat, mail, ma anche attivazione microfono e videocamera), considerati la forma più avanzata di attacco digitale contro una persona, ci sono tre filoni, spiega Guarnieri. Ci sono i paesi che sono clienti delle società “leader” del settore, e dove sono stati evidenziati abusi, come Marocco, Emirati, Arabia Saudita, Messico. Poi vengono i paesi che usano servizi forniti da società più piccole, meno specializzate e meno sofisticate. «Di queste ne vediamo un numero crescente, vendono servizi offensivi completi, cioè non solo i trojan, gli strumenti, ma gestiscono proprio le campagne di infezione. Ad esempio abbiamo visto due società del genere in India». E infine ci sono Stati o entità che sviluppano e operano queste campagne per conto proprio, e qui la gamma di sofisticatezza varia molto. In generale «ora vediamo molti più attacchi su dispositivi mobili invece che su pc, e molta più dedizione nel furto di credenziali, accesso alle caselle email, ecc.», prosegue Guarnieri, «perché richiede meno investimento (rispetto a riuscire a infettare un dispositivo con uno spyware, ndr) ma lo puoi fare a tappeto. Ad esempio abbiamo visto operazioni di questo tipo, nell’ordine delle migliaia, nel Golfo Persico».

Media impreparati

In questo scenario i giornali e i reporter rischiano di trovarsi impreparati. La crescita di molestie e minacce online contro singoli giornalisti è testimoniata anche da un recentissimo rapporto del Tow Center for Digital Journalism proprio sulla sicurezza informatica dei media, che sottolinea come tra le vittime più frequenti ci siano donne o appartenenti a minoranze. Malgrado la consapevolezza di questi rischi sia aumentata nelle redazioni, non tutti sono in grado di fronteggiarli allo stesso modo. Ci sono testate più di punta che si possono permettere infrastrutture ed esperti che si occupino della sicurezza, anche dei singoli. Ahana Datta, incaricato della cybersicurezza al Financial Times, qualche mese fa ha raccontato sulla Columbia Journalism Review come nell’estate 2019 una serie di corrispondenti del giornale finanziario - che lavorano soprattutto sul Medio Oriente, occupandosi anche di storie di sorveglianza - abbiano iniziato a ricevere attacchi informatici sofisticati. In alcuni casi, dopo alcune strane telefonate mute su Whatsapp, i telefoni avevano iniziato a scaricare rapidamente la batteria, come se qualcosa stesse usando le risorse dell’apparecchio. In altri casi le chiamate dei giornalisti a loro fonti venivano reindirizzate automaticamente ad altri numeri.“Nessuno, se non uno Stato, avrebbe avuto accesso a tali capacità”, ha scritto Datta. Oppure ricevevano finti codici di autenticazione via SMS per entrare nei loro profili social o di messaggistica. O hanno avuto i loro telefoni sequestrati fisicamente a conferenze o checkpoint, e una volta che li hanno riottenuti si sono accorti che si comportavano in modo strano.

Dal suo canto Micah Lee, direttore della sicurezza informatica a First Look Media (editore della testata The Intercept, nata sulla scia degli scoop sul Datagate basati sui documenti segreti della NSA forniti da Edward Snowden), ha messo a punto uno strumento - Dangerzone - per permettere ai giornalisti di aprire gli allegati senza rischiare di prendersi dei malware, trasformando il documento in un PDF sicuro. Perché è facile per un esperto di sicurezza dire alle persone: “Non aprite gli allegati sospetti; non cliccate su link sospetti”. Ma “la verità è che, come giornalista, è il tuo lavoro aprire documenti che arrivano da sconosciuti, sia che provengano via mail, su Signal, Whatsapp o SecureDrop”, ha scritto lo stesso Lee in una presentazione del suo strumento. “I giornalisti devono aprire e leggere i documenti provenienti da tutti i tipi di siti, da email scaricate in blocco che arrivino da hack o leak, o da qualsiasi numero di altre fonti potenzialmente inaffidabili”.

La cybersicurezza sul campo

Tuttavia, la maggior parte dei giornalisti e delle testate, specie quelli che lavorano in aree più a rischio, non hanno accesso a questo genere di competenze o aiuti interni alle redazioni. E soprattutto, quando si parla con trainer e formatori che lavorano sul terreno in queste zone, si capisce che “sul campo” saltano molti assunti dati solitamente per scontati dagli esperti di cybersicurezza. La faccenda, insomma, è molto più complicata del fatto di limitarsi a usare lo strumento ritenuto crittograficamente più valido, o più sicuro dal punto di vista tecnico.

«In base alla mia esperienza nelle comunità di attivisti e quelle di software open source in varie aree, specie in Tunisia, c’è spesso un divario fra lo sviluppo di queste tecnologie, il loro design, da un lato, e gli utenti finali e i gruppi a rischio in regimi repressivi, anche se le associazioni e ONG del settore stanno cercando di colmare questo gap«», commenta a Valigia Blu Rima Sghaier, ricercatrice e trainer di sicurezza digitale con particolare conoscenza del Nord Africa e del Medio Oriente, e project manager di Globaleaks, piattaforma di whistleblowing anonimo. «È vero che ci sono app e software crittograficamente più robusti, o considerati più sicuri dalla comunità scientifica, ma nella mia collaborazione con le organizzazioni che dovrebbero poi adottare gli strumenti in questione vedo che spesso non hanno le risorse o la capacità di utilizzarli nel quotidiano. Quindi succede che gli insegni a usare le mail cifrate ma poi queste sono abbandonate. Purtroppo alcuni seminari tendono a scaricare sugli allievi una serie di informazioni e di strumenti, ma non producono un cambiamento nei comportamenti».

La ragione non è solo di metodo. Ci sono differenze sostanziali tra alcuni modelli di minaccia immaginati per certe tecnologie e quello che avviene effettivamente in certi paesi. «In Stati come l’Egitto puoi essere esposto a rischi perché magari nelle precedenti proteste di piazza la polizia ha sequestrato telefoni o obbligato le persone ad aprirli, e ha poi ricostruito la rete di contatti, con chi parli, ecc, mettendo pressione sugli attivisti. Per cui, ad esempio, quando ho lavorato su delle linee guida per le manifestazioni, il consiglio era di non avere dati sul telefono ma nemmeno app che potessero incriminarti», prosegue Sghaier. «Perché in alcuni paesi devi avere a che fare col fatto che non c’è lo Stato di diritto».

Allo stesso modo, se da un lato la raccomandazione è non tenere certe app o certe informazioni sullo smartphone, dall’altro si suggerisce di avere invece un account Facebook “finto” con contenuti pro-governo. E ancora: «Il suggerimento che viene dato di solito dagli esperti di sicurezza è di usare l’autenticazione a due fattori per i profili e la mail. Ma in posti come l’Egitto l’autenticazione a due fattori via SMS può essere facilmente aggirata, lo Stato può chiedere a un operatore telefonico di avere una copia della SIM», continua Sghaier. «Anche per questo si suggerisce di usare app e servizi che non si appoggino sul numero di telefono. Tra le app di messaggistica cifrata quindi va più Wire (che funziona senza numero di telefono) di Signal (considerata la migliore dagli esperti di sicurezza, ma per cui è ancora necessario il numero di telefono, ndr)».

Anche Cutrupi conferma la necessità di adattare gli strumenti al contesto locale. «Noi diciamo di usare Signal e Wire, ma spesso Wire è preferito perché non richiede il numero di telefono. Se devo parlare con un giornalista in Zimbabwe non posso chiedergli di farsi un dispositivo separato, o di usare pgp (un software per cifrare mail o file, ndr), perché bisogna offrire strumenti e soluzioni semplici. A noi è capitato che degli attivisti non volessero dare a nessuno il loro numero di telefono, per cui abbiamo dovuto ricorrere a Wire. Edward Snowden ha contribuito alla popolarità di una app di messaggistica cifrata come Signal, ma in altri posti abbiamo riscontrato problemi, perché Signal dà più nell’occhio, così come Tor (un noto software per navigare o comunicare in modo anonimo, ndr) o pgp, mentre per ora Wire passa relativamente inosservata. Sia chiaro, sono strumenti fantastici quelli citati, ma non sempre sono adatti al contesto locale».

Si tratta cioè di contesti dove giornalisti, avvocati e attivisti di alto profilo rischiano attacchi informatici mirati e sofisticati, magari con tecnologie acquistate all’estero. Ma per molti altri la prospettiva più probabile è invece il sequestro del dispositivo o la richiesta di aprirlo. Che resta il rischio principale se devi attraversare alcune frontiere e checkpoint.

Anche Kaia Ming, una trainer di sicurezza digitale che dalla Malesia opera in varie aree nel sud-est asiatico con giornalisti e attivisti LGBT, sottolinea come spesso la minaccia sia il sequestro del dispositivo e il fatto che la polizia entri nei vari account. «Nella maggior parte dei casi ho a che fare con la necessità di ripulire i profili sui social media. E con il fatto che le forze di sicurezza infiltrano gruppi social per raccogliere informazioni», spiega a Valigia Blu.

Non solo conta dunque il paese in cui si opera, ma anche le persone che si devono aiutare e quali sono i loro rischi specifici. Se si prende il caso di donne abusate e maltrattate dai mariti in India, in cui basta una chat innocente o una foto sul telefono per far scattare la violenza, non basta dire “mettete una password al dispositivo”, dato che simili procedure possono essere addirittura controproducenti, spiega ancora Cutrupi, che illustra anche alcune tecniche utilizzate per monitorare la sicurezza di persone in viaggio in aree pericolose. «In tal caso l’obiettivo è comunicare a qualcuno i tuoi movimenti fisici con strumenti digitali». In questi frangenti i trainer arrivano a costruire un piano di viaggio sicuro, in cui il viaggiatore attraverso una app manda dei check-in periodici sulla sua posizione, inviando ogni tot ore dove si trova, e messaggi che si autocancellano. Se dopo un certo tempo non fa più check-in chi lo sta seguendo da lontano chiamerà l’hotel o l’ambasciata, oppure cercherà di intervenire sui suoi account.

Ma al di là delle tecniche e degli strumenti, quello che sottolineano sia Sghaier che Cutrupi, è che per molti giornalisti e attivisti la dimensione digitale, Internet, sono la loro “ultima spiaggia”, l’unico strumento che hanno per farsi sentire o per comunicare. Spesso queste persone agiscono in relativo isolamento. Anche per questo le minacce che ricevono sono legate alla loro esistenza digitale.

«Nel mondo, la sicurezza di giornalisti e attivisti sta rapidamente peggiorando», commenta Sylvain Mignot del Totem Project, una piattaforma sviluppata in collaborazione con una fondazione olandese per la libertà di informazione (Free Press Unlimited) che offre corsi di formazione sulla cybersicurezza ai reporter. «La libertà della Rete si sta riducendo nei regimi per reprimere media e società civile. Giornalisti e attivisti operano in uno spazio civico sempre più stretto. Devono affrontare sorveglianza, attacchi ai loro siti e ai loro account personali, il furto e la diffusione dei loro dati, la rivelazione delle loro fonti, molestie online. E spesso non sono in grado di reagire efficacemente a queste minacce digitali che arrivano da Stati ma anche da aziende».

Foto in anteprima via pixabay.com

Iscriviti alla nostra Newsletter

  Consenso all’invio della newsletter: Dai il tuo consenso affinché Valigia Blu possa usare le informazioni che fornisci allo scopo di inviarti la newsletter settimanale e una comunicazione annuale relativa al nostro crowdfunding.
Come revocare il consenso: Puoi revocare il consenso all’invio della newsletter in ogni momento, utilizzando l’apposito link di cancellazione nella email o scrivendo a info@valigiablu.it. Per maggiori informazioni leggi l’informativa privacy su www.valigiablu.it.
Segnala un errore