Un blog di Paolo Attivissimo, giornalista informatico e cacciatore di bufale
Informativa privacy e cookie: Questo blog include cookie di terze parti. Non miei (dettagli)
Prossimi eventi pubblici – Sostegno a questo blog – Sci-Fi Universe
Cerca nel blog
Visualizzazione post con etichetta Wikileaks. Mostra tutti i post
Visualizzazione post con etichetta Wikileaks. Mostra tutti i post
2017/03/10
No, la CIA non ti spia: Wikileaks gonfia la fuga di dati “Vault 7”
Ultimo aggiornamento: 2017/03/14 13:40.
Martedì scorso Wikileaks ha diffuso circa mezzo gigabyte di dati e documenti che, a suo dire, provengono direttamente dagli archivi della CIA e rivelano molti degli strumenti informatici dell’agenzia governativa statunitense. La compilation, chiamata Year Zero, farebbe parte di una collezione più ampia che Wikileaks chiama Vault 7. Le prime verifiche indipendenti indicano che almeno alcuni dei documenti pubblicati sono autentici.
La rivelazione è molto spettacolare: nei documenti vengono descritti strumenti decisamente inquietanti, capaci per esempio di infettare qualunque smartphone, di prendere il controllo di qualunque Smart TV della Samsung e trasformarla in un microfono permanentemente acceso anche quando il televisore sembra spento, e soprattutto viene elencata una serie di falle informatiche presenti in vari prodotti, compresi i computer Windows e Apple e molti antivirus, e tenute segrete per poterle sfruttare al momento opportuno. Secondo Wikileaks la CIA avrebbe anche modi per “scavalcare la cifratura” che protegge WhatsApp, Signal, Telegram e molte altre app di messaggistica ritenute sicure. Ma se avete una Smart TV o uno smartphone o un computer e state pensando di buttarli e di rinunciare a difenderli perché la CIA vi spia, è il caso che prendiate un bel respiro e non vi facciate prendere dal panico. Anche se l’esame di questi circa 8700 documenti è appena iniziato, ci sono già parecchi miti da smontare.
Prima di tutto, come principio generale, quasi tutti gli strumenti di spionaggio catalogati da Year Zero sono concepiti per infettare un singolo dispositivo per volta (le TV Samsung vanno infettate infilando una chiavetta USB) e non consentono sorveglianze di massa. Le probabilità che la CIA si prenda la briga di infettare personalmente i vostri dispositivi sono quindi estremamente basse (se non lavorate in ambienti particolarmente delicati).
Se avete paura per la vostra sicurezza informatica, è infinitamente più probabile che subiate un attacco di phishing o di ransomware fatto a caso da una delle tante bande di criminali informatici o che il vostro collega devasti i computer dell’azienda scaricandovi giochini o video infetti o rispondendo alla mail di un funzionario nigeriano che gli offre di spartire una grande somma di denaro (un’industria truffaldina che racimola almeno un miliardo di dollari l’anno). Conviene concentrarsi sulla difesa da questi pericoli realistici e non su quelli ispirati da James Bond.
In secondo luogo, la fuga di queste notizie riservatissime ha molte conseguenze positive per noi tutti. Certo, è una figuraccia per la CIA, ma è anche una conferma chiarissima delle ragioni che avevano spinto Tim Cook, boss di Apple, a rifiutarsi di collaborare con gli inquirenti statunitensi nello sbloccare l'iPhone di uno dei terroristi dell’attentato di San Bernardino nel 2016. Cook diceva che creare un grimaldello capace di sbloccare quell’iPhone avrebbe compromesso la sicurezza di tutti gli utenti iPhone del mondo, perché prima o poi quel grimaldello sarebbe sfuggito al controllo del governo e sarebbe finito nelle mani sbagliate. All’epoca quest’ipotesi era sembrata un po’ fantasiosa ed eccessivamente priva di fiducia verso le autorità: adesso i documenti della CIA trafugati dimostrano che era corretta.
Una seconda conseguenza positiva delle rivelazioni è che adesso le aziende che producono hardware e software possono sapere di queste falle tenute nascoste e correggerle. Va notato che in questa prima tranche di documenti ci sono solo informazioni generali sugli strumenti d’attacco ma non ci sono gli strumenti veri e propri, per cui è difficile che i criminali informatici possano usare questa fuga di dati per creare nuovi attacchi.
Allo stesso tempo la pubblicazione dei documenti da parte di Wikileaks ha messo in luce un problema di sicurezza generale: è giusto che un governo scopra delle falle di sicurezza nei prodotti di largo consumo, usati dai suoi stessi cittadini e dalle sue aziende strategiche, e le tenga segrete per poterle sfruttare, invece di informare le aziende produttrici e consentire di correggerle? È vero che conoscere queste falle conferisce un vantaggio nella lotta al terrorismo e nel controspionaggio, ma allo stesso tempo compromette la sicurezza dei cittadini e delle infrastrutture che il governo è tenuto a proteggere, come nota la Electronic Frontier Foundation. È difficile argomentare in modo credibile che siccome da qualche parte ci potrebbe essere un terrorista che usa una TV della Samsung è meglio lasciare milioni di persone esposte al rischio di intrusione e di stalking. Per fare un paragone, è come se un poliziotto passasse davanti a casa vostra, si accorgesse che la serratura della vostra porta di casa è difettosa, e invece di avvisarvi che è meglio cambiarla se ne andasse via facendo finta di niente e prendendo nota del difetto, caso mai gli dovesse servire entrare di soppiatto.
Inoltre le tecniche di intrusione descritte nei documenti resi pubblici fin qui non rivelano nulla di straordinario: si sospettava già da tempo che i servizi di sicurezza di vari governi ne disponessero e questi documenti non hanno sorpreso gli esperti. Semmai questi documenti sono interessanti perché mostrano dall’interno il modo di operare di una delle agenzie più segrete del mondo, spesso con risultati sorprendenti. Per esempio, i documenti trafugati mostrano che la CIA acquista attacchi informatici da società commerciali e da agenzie governative di altri paesi.
Per fare un altro esempio, i nomi dei vari strumenti d’attacco informatico sono presi spesso dalla cultura geek e giovanile. Spicca, per esempio, il programma Weeping Angel, “Angelo piangente”, che serve per attaccare le Smart TV: è una chiarissima citazione del telefilm britannico Doctor Who. Ci sono moltissimi nomi comici o ridicoli o citazioni da memi o videogiochi, come Philosoraptor o DRBOOM, e c’è addirittura una collezione di emoticon personalizzate (mostrata anche qui e nel documento originale): paradossalmente, questa fuga di dati umanizza parecchio gli operatori senza nome dell’agenzia.
Purtroppo il clamore giornalistico e un po’ di esagerazione drammatica stanno creando parecchi equivoci. Forse il più importante è che nei documenti resi pubblici non viene affatto detto che la CIA ha compromesso la crittografia di WhatsApp, Signal o Telegram, ma che è in grado di intercettare le digitazioni degli utenti in generale se riesce a infettare l’intero smartphone sul quale girano queste app. Quindi la sicurezza di queste app non è stata violata e non è affatto il caso di abbandonarle pensando “tanto è tutto inutile”: semplicemente, come per qualunque app, se il dispositivo è stato compromesso non c’è nulla che l’app possa fare per proteggere il suo utente. Anzi, secondo Moxie Marlinspike, creatore di Signal, il fatto che la CIA debba ricorrere all’infezione individuale dello smartphone significa che la crittografia di Signal è robusta contro le intercettazioni di massa. E se un intruso ha accesso fisico ai vostri dispositivi personali vuol dire che potrebbe fare ben di peggio, per esempio installando microspie tradizionali, senza prendersi la briga di architettare complicate infezioni.
Inoltre il fatto che la CIA sviluppi o tenti di sviluppare strumenti informatici d’attacco non significa necessariamente che li usi o che li abbia creati con successo. Per esempio, l’idea che la CIA studi tecniche per infettare i sistemi computerizzati che controllano il funzionamento delle nostre automobili per avere un modo di compiere delitti perfetti senza lasciare tracce è inquietante, soprattutto per chi ha un’auto interconnessa o addirittura aggiornabile via software da remoto (Tesla, per esempio, ma anche le altre marche che hanno centraline aggiornabili con un intervento locale), ma non vuol dire che ci sia riuscita, che lo faccia e che i costruttori di auto non possano prendere contromisure. Di fronte al rischio quotidiano di un incidente stradale, questi pericoli finiscono per essere puramente teorici.
Se volete leggere i dettagli di questa vicenda, consiglio gli articoli di Stefania Maurizi su Repubblica e di Carola Frediani su La Stampa.
Fonti aggiuntive: Washington Post, The Register, Gizmodo, Reuters, The Intercept.
Martedì scorso Wikileaks ha diffuso circa mezzo gigabyte di dati e documenti che, a suo dire, provengono direttamente dagli archivi della CIA e rivelano molti degli strumenti informatici dell’agenzia governativa statunitense. La compilation, chiamata Year Zero, farebbe parte di una collezione più ampia che Wikileaks chiama Vault 7. Le prime verifiche indipendenti indicano che almeno alcuni dei documenti pubblicati sono autentici.
La rivelazione è molto spettacolare: nei documenti vengono descritti strumenti decisamente inquietanti, capaci per esempio di infettare qualunque smartphone, di prendere il controllo di qualunque Smart TV della Samsung e trasformarla in un microfono permanentemente acceso anche quando il televisore sembra spento, e soprattutto viene elencata una serie di falle informatiche presenti in vari prodotti, compresi i computer Windows e Apple e molti antivirus, e tenute segrete per poterle sfruttare al momento opportuno. Secondo Wikileaks la CIA avrebbe anche modi per “scavalcare la cifratura” che protegge WhatsApp, Signal, Telegram e molte altre app di messaggistica ritenute sicure. Ma se avete una Smart TV o uno smartphone o un computer e state pensando di buttarli e di rinunciare a difenderli perché la CIA vi spia, è il caso che prendiate un bel respiro e non vi facciate prendere dal panico. Anche se l’esame di questi circa 8700 documenti è appena iniziato, ci sono già parecchi miti da smontare.
Prima di tutto, come principio generale, quasi tutti gli strumenti di spionaggio catalogati da Year Zero sono concepiti per infettare un singolo dispositivo per volta (le TV Samsung vanno infettate infilando una chiavetta USB) e non consentono sorveglianze di massa. Le probabilità che la CIA si prenda la briga di infettare personalmente i vostri dispositivi sono quindi estremamente basse (se non lavorate in ambienti particolarmente delicati).
Se avete paura per la vostra sicurezza informatica, è infinitamente più probabile che subiate un attacco di phishing o di ransomware fatto a caso da una delle tante bande di criminali informatici o che il vostro collega devasti i computer dell’azienda scaricandovi giochini o video infetti o rispondendo alla mail di un funzionario nigeriano che gli offre di spartire una grande somma di denaro (un’industria truffaldina che racimola almeno un miliardo di dollari l’anno). Conviene concentrarsi sulla difesa da questi pericoli realistici e non su quelli ispirati da James Bond.
In secondo luogo, la fuga di queste notizie riservatissime ha molte conseguenze positive per noi tutti. Certo, è una figuraccia per la CIA, ma è anche una conferma chiarissima delle ragioni che avevano spinto Tim Cook, boss di Apple, a rifiutarsi di collaborare con gli inquirenti statunitensi nello sbloccare l'iPhone di uno dei terroristi dell’attentato di San Bernardino nel 2016. Cook diceva che creare un grimaldello capace di sbloccare quell’iPhone avrebbe compromesso la sicurezza di tutti gli utenti iPhone del mondo, perché prima o poi quel grimaldello sarebbe sfuggito al controllo del governo e sarebbe finito nelle mani sbagliate. All’epoca quest’ipotesi era sembrata un po’ fantasiosa ed eccessivamente priva di fiducia verso le autorità: adesso i documenti della CIA trafugati dimostrano che era corretta.
Una seconda conseguenza positiva delle rivelazioni è che adesso le aziende che producono hardware e software possono sapere di queste falle tenute nascoste e correggerle. Va notato che in questa prima tranche di documenti ci sono solo informazioni generali sugli strumenti d’attacco ma non ci sono gli strumenti veri e propri, per cui è difficile che i criminali informatici possano usare questa fuga di dati per creare nuovi attacchi.
Allo stesso tempo la pubblicazione dei documenti da parte di Wikileaks ha messo in luce un problema di sicurezza generale: è giusto che un governo scopra delle falle di sicurezza nei prodotti di largo consumo, usati dai suoi stessi cittadini e dalle sue aziende strategiche, e le tenga segrete per poterle sfruttare, invece di informare le aziende produttrici e consentire di correggerle? È vero che conoscere queste falle conferisce un vantaggio nella lotta al terrorismo e nel controspionaggio, ma allo stesso tempo compromette la sicurezza dei cittadini e delle infrastrutture che il governo è tenuto a proteggere, come nota la Electronic Frontier Foundation. È difficile argomentare in modo credibile che siccome da qualche parte ci potrebbe essere un terrorista che usa una TV della Samsung è meglio lasciare milioni di persone esposte al rischio di intrusione e di stalking. Per fare un paragone, è come se un poliziotto passasse davanti a casa vostra, si accorgesse che la serratura della vostra porta di casa è difettosa, e invece di avvisarvi che è meglio cambiarla se ne andasse via facendo finta di niente e prendendo nota del difetto, caso mai gli dovesse servire entrare di soppiatto.
Inoltre le tecniche di intrusione descritte nei documenti resi pubblici fin qui non rivelano nulla di straordinario: si sospettava già da tempo che i servizi di sicurezza di vari governi ne disponessero e questi documenti non hanno sorpreso gli esperti. Semmai questi documenti sono interessanti perché mostrano dall’interno il modo di operare di una delle agenzie più segrete del mondo, spesso con risultati sorprendenti. Per esempio, i documenti trafugati mostrano che la CIA acquista attacchi informatici da società commerciali e da agenzie governative di altri paesi.
Per fare un altro esempio, i nomi dei vari strumenti d’attacco informatico sono presi spesso dalla cultura geek e giovanile. Spicca, per esempio, il programma Weeping Angel, “Angelo piangente”, che serve per attaccare le Smart TV: è una chiarissima citazione del telefilm britannico Doctor Who. Ci sono moltissimi nomi comici o ridicoli o citazioni da memi o videogiochi, come Philosoraptor o DRBOOM, e c’è addirittura una collezione di emoticon personalizzate (mostrata anche qui e nel documento originale): paradossalmente, questa fuga di dati umanizza parecchio gli operatori senza nome dell’agenzia.
Purtroppo il clamore giornalistico e un po’ di esagerazione drammatica stanno creando parecchi equivoci. Forse il più importante è che nei documenti resi pubblici non viene affatto detto che la CIA ha compromesso la crittografia di WhatsApp, Signal o Telegram, ma che è in grado di intercettare le digitazioni degli utenti in generale se riesce a infettare l’intero smartphone sul quale girano queste app. Quindi la sicurezza di queste app non è stata violata e non è affatto il caso di abbandonarle pensando “tanto è tutto inutile”: semplicemente, come per qualunque app, se il dispositivo è stato compromesso non c’è nulla che l’app possa fare per proteggere il suo utente. Anzi, secondo Moxie Marlinspike, creatore di Signal, il fatto che la CIA debba ricorrere all’infezione individuale dello smartphone significa che la crittografia di Signal è robusta contro le intercettazioni di massa. E se un intruso ha accesso fisico ai vostri dispositivi personali vuol dire che potrebbe fare ben di peggio, per esempio installando microspie tradizionali, senza prendersi la briga di architettare complicate infezioni.
Inoltre il fatto che la CIA sviluppi o tenti di sviluppare strumenti informatici d’attacco non significa necessariamente che li usi o che li abbia creati con successo. Per esempio, l’idea che la CIA studi tecniche per infettare i sistemi computerizzati che controllano il funzionamento delle nostre automobili per avere un modo di compiere delitti perfetti senza lasciare tracce è inquietante, soprattutto per chi ha un’auto interconnessa o addirittura aggiornabile via software da remoto (Tesla, per esempio, ma anche le altre marche che hanno centraline aggiornabili con un intervento locale), ma non vuol dire che ci sia riuscita, che lo faccia e che i costruttori di auto non possano prendere contromisure. Di fronte al rischio quotidiano di un incidente stradale, questi pericoli finiscono per essere puramente teorici.
Se volete leggere i dettagli di questa vicenda, consiglio gli articoli di Stefania Maurizi su Repubblica e di Carola Frediani su La Stampa.
Fonti aggiuntive: Washington Post, The Register, Gizmodo, Reuters, The Intercept.
Labels:
ReteTreRSI,
sicurezza informatica,
sorveglianza,
spionaggio,
Wikileaks
2014/09/20
Snowden e asilo in Svizzera, Assange, spionaggio economico da parte degli USA: il punto con gli esperti
Seguo Wikileaks dai tempi delle rivelazioni dei documenti sui prigionieri di Guantanamo e gli scandali bancari svizzeri e ho seguito la vicenda Snowden dal punto di vista tecnico, ma sto cercando di approfondire questi temi anche negli altri loro aspetti coinvolgendo anche i diretti interessati.
Per conto della Rete Uno della Radio Svizzera e insieme a Nicola Colotti ho quindi interpellato la giornalista Stefania Maurizi, che è il referente italiano di Wikileaks e conosce a menadito gli eventi che riguardano lo scandalo più vasto della storia dello spionaggio informatico; ne ha scritto ripetutamente per esempio per l'Espresso (copertina qui accanto, giugno 2014).
Con lei ieri abbiamo condotto in diretta una puntata de La consulenza, alla quale ha partecipato anche il giornalista Alessandro Longo, per fare il punto della situazione anche alla luce delle notizie (italiano; tedesco; inglese) che ipotizzano un possibile interesse delle autorità svizzere per concedere asilo politico a Edward Snowden in Svizzera in cambio di informazioni sulle attività dell'NSA sul territorio elvetico (Snowden, fra l'altro, è stato agente CIA a Ginevra). Se volete, la puntata è ascoltabile in streaming qui.
Per conto della Rete Uno della Radio Svizzera e insieme a Nicola Colotti ho quindi interpellato la giornalista Stefania Maurizi, che è il referente italiano di Wikileaks e conosce a menadito gli eventi che riguardano lo scandalo più vasto della storia dello spionaggio informatico; ne ha scritto ripetutamente per esempio per l'Espresso (copertina qui accanto, giugno 2014).
Con lei ieri abbiamo condotto in diretta una puntata de La consulenza, alla quale ha partecipato anche il giornalista Alessandro Longo, per fare il punto della situazione anche alla luce delle notizie (italiano; tedesco; inglese) che ipotizzano un possibile interesse delle autorità svizzere per concedere asilo politico a Edward Snowden in Svizzera in cambio di informazioni sulle attività dell'NSA sul territorio elvetico (Snowden, fra l'altro, è stato agente CIA a Ginevra). Se volete, la puntata è ascoltabile in streaming qui.
Labels:
Edward Snowden,
Julian Assange,
podcast,
radio,
Wikileaks
2014/09/15
Wikileaks pubblica FinFisher, il software-spia usato dai governi contro i dissidenti e i giornalisti; coinvolta anche VUPEN (antivirus)
Oggi Wikileaks ha messo online copie di FinFisher, il software d'intercettazione venduto dall'omonima azienda tedesca ai governi, che spesso lo usano per spiare giornalisti e dissidenti. Il software è in grado di intercettare le comunicazioni e i dati di sistemi OS X, Windows, Linux, Android, iOS, BlackBerry, Symbian e Windows Mobile. Finfisher, normalmente accessibile a caro prezzo soltanto alle agenzie governative, è ora scaricabile qui allo scopo di consentire a tutti (in particolare ai creatori onesti di antivirus) di analizzarlo e realizzare difese.
Finfisher ha fruttato ai suoi creatori circa 50 milioni di euro. Questi sono alcuni dei suoi clienti: in Europa spicca l'Italia insieme al Belgio e ai Paesi Bassi. Insieme al software sono disponibili anche i log dell'assistenza clienti di FinFisher, che contengono dati molto interessanti, compresi gli indirizzi IP dei “bersagli” e degli “agenti”.
Un aspetto particolarmente interessante per l'utente comune è che la società di sicurezza francese VUPEN Security ha collaborato con FinFisher fornendo vulnerabilità (exploit) che non rende pubbliche. Non è la prima volta che VUPEN è stata denunciata giornalisticamente per questo comportamento: anzi, VUPEN se ne vanta pure (Forbes, 2012; grazie a @flameeyes per la segnalazione).
Giusto per capirci: una società di sicurezza scopre una falla in un sistema operativo e invece di pubblicarla responsabilmente per consentirne la correzione, la tiene per sé e la rivela soltanto a chi realizza prodotti di sorveglianza. Questo significa che la falla nota non viene corretta neppure nei sistemi degli utenti onesti e innocenti.
Qui non si tratta più di argomentare se sia giusto o meno che un governo che voglia definirsi democratico abbia strumenti di sorveglianza così potenti e pervasivi, perché c'è sempre chi invoca la scusa (discutibile) che questi strumenti sono necessari per la lotta al terrorismo e al crimine organizzato. Qui siamo di fronte all'equivalente di avere un meccanico che scopre un difetto letale in una marca di automobili e lo rivende alla polizia, invece di segnalarlo al fabbricante, lasciando che continui a esserci (e sia scopribile da malintenzionati) in tutte le auto di quella marca. Compresa la vostra.
Finfisher ha fruttato ai suoi creatori circa 50 milioni di euro. Questi sono alcuni dei suoi clienti: in Europa spicca l'Italia insieme al Belgio e ai Paesi Bassi. Insieme al software sono disponibili anche i log dell'assistenza clienti di FinFisher, che contengono dati molto interessanti, compresi gli indirizzi IP dei “bersagli” e degli “agenti”.
Un aspetto particolarmente interessante per l'utente comune è che la società di sicurezza francese VUPEN Security ha collaborato con FinFisher fornendo vulnerabilità (exploit) che non rende pubbliche. Non è la prima volta che VUPEN è stata denunciata giornalisticamente per questo comportamento: anzi, VUPEN se ne vanta pure (Forbes, 2012; grazie a @flameeyes per la segnalazione).
Giusto per capirci: una società di sicurezza scopre una falla in un sistema operativo e invece di pubblicarla responsabilmente per consentirne la correzione, la tiene per sé e la rivela soltanto a chi realizza prodotti di sorveglianza. Questo significa che la falla nota non viene corretta neppure nei sistemi degli utenti onesti e innocenti.
Qui non si tratta più di argomentare se sia giusto o meno che un governo che voglia definirsi democratico abbia strumenti di sorveglianza così potenti e pervasivi, perché c'è sempre chi invoca la scusa (discutibile) che questi strumenti sono necessari per la lotta al terrorismo e al crimine organizzato. Qui siamo di fronte all'equivalente di avere un meccanico che scopre un difetto letale in una marca di automobili e lo rivende alla polizia, invece di segnalarlo al fabbricante, lasciando che continui a esserci (e sia scopribile da malintenzionati) in tutte le auto di quella marca. Compresa la vostra.
2010/12/14
Diretta su Wikileaks alle 11.10 su RSI (ReteUno)
Assange Persona dell'Anno 2010? Ne parliamo alla radio stamattina
L'articolo è stato aggiornato dopo la pubblicazione iniziale.
Stamattina alle 11.10 sarò in diretta sulla Rete Uno della RSI (streaming) per parlare di Wikileaks per una cinquantina di minuti insieme agli esperti nel programma Millevoci di Nicola Colotti.
Intanto i lettori di Time hanno votato in massa per nominare Julian Assange Persona dell'Anno con 382.020 voti, staccando nettamente il secondo classificato, il primo ministro turco Erdogan.
Arrivano anche gli emuli di Wikileaks. Debutta OpenLeaks, gestito dall'ex numero due di Wikileaks Daniel Domscheit-Berg, che avrà un approccio differente: fornirà un luogo anonimo nel quale depositare informazioni scottanti e poi le passerà ai media (Punto Informatico).
La Electronic Frontier Foundation riassume gli attacchi contro Wikileaks e segnala un'analisi (PDF) autorevolissima degli aspetti legali della vicenda, redatta dall'ufficio legale del Congresso degli Stati Uniti (Congressional Research Service), che mette in guardia contro le richieste, fatte da vari politici, di incriminare o addirittura assassinare Julian Assange. Infatti Assange non è un traditore (non è cittadino USA) e non è una spia (non ha sottratto lui i documenti riservati).
Inoltre c'è il precedente pesantissimo dei Pentagon Papers: nel 1971 Daniel Ellsberg, un militare americano, rilasciò ai giornali (inizialmente al New York Times e poi ad altre testate) 7000 pagine di un resoconto ufficiale segreto del vero andamento (disastroso) della guerra in Vietnam, che portò l'opinione pubblica statunitense ad essere contraria al conflitto. L'allora presidente Nixon fece bloccare la pubblicazione, ma la Corte Suprema gli diede torto. Così l'amministrazione Nixon fece di tutto per screditare la fonte e inviò anche degli agenti CIA per aggredire o assassinare Ellsberg, che dopo un periodo di latitanza si costituì. Vi ricorda qualcosa? Promemoria per chi sta preparando roghi mediatici: le accuse a Ellsberg furono annullate e Nixon si dimise in seguito allo scandalo Watergate.
Altre info: PayPal ha sospeso il conto di Wikileaks dopo aver ricevuto una semplice lettera dal Dipartimento di Stato USA (BBC); il MELANI commenta gli attacchi a PostFinance (Swissinfo.ch); chi ha partecipato agli attacchi usando il tool di DDOS "punta-e-clicca" LOIC (Low Orbit Ion Cannon), che ha messo in crisi Paypal, Mastercard e Visa, ha probabilmente divulgato il proprio indirizzo IP (BoingBoing; Gizmodo; BBC); Amazon rifiuta di ospitare i file di Wikileaks, ma è ben contenta di venderli come libro; alcune dichiarazioni contraddittorie di Assange; nove delle chicche più scottanti dei documenti divulgati fin qui (Alternet), per non parlare della lista segreta dei 287 siti vietati in Italia (mirror); la cauzione rifiutata ad Assange nonostante l'appoggio di personalità di spicco britanniche (BBC); Wikileaked, il sito del Washington Post dedicato ai documenti pubblicati da Wikileaks; una visita al datacenter svedese che ospita Wikileaks (BBC); e un elenco delle rivelazioni più significative e imbarazzanti finora emerse dalla piccola frazione di documenti resa pubblica (BBC).
Assange è atteso in tribunale oggi per una nuova richiesta di libertà provvisoria su cauzione. Stando al suo avvocato Mark Stephens, il giornalista è in isolamento mediatico: “non ha accesso al mondo esterno”; secondo il giornalista John Pilger, che gli ha parlato nel carcere di Wandsworth e che si era offerto come garante per la libertà provvisoria, Assange è “in isolamento in un braccio di punizione” (BBC).
Aggiornamento (16:50): La richiesta di scarcerazione su cauzione è stata accettata. Assange resterà in carcere per almeno 48 ore in caso di un possibile appello da parte della pubblica accusa. La cauzione è stata fissata in 200.000 sterline (236.000 euro, 305.000 franchi) e Assange dovrà consegnare il proprio passaporto, rispettare un coprifuoco e indossare un bracciale elettronico di localizzazione (BBC). Sarà libero fino alla prossima udienza, fissata per l'11 gennaio 2011 (NY Times).
Ancora una volta, con sentimento: Wikileaks non è Wikipedia
Gli amici wikipediani mi chiedono di sottolineare di nuovo che non c'è nessun legame fra Wikipedia, l'enciclopedia libera, e Wikileaks, a parte le prime quattro lettere del nome. Questo è forse ovvio per noi internauti, ma evidentemente non lo è per il presidente francese Sarkozy e per altri personaggi di spicco che hanno commesso gaffe piuttosto patetiche, come racconta bene The Signpost di Wikipedia. Facepalm cosmico, lo so.
2010/12/08
Il file cifrato di Wikileaks
Per chi ha chiesto il file di garanzia di Wikileaks
Il file cifrato che Wikileaks ha diffuso preventivamente a fine luglio 2010 per evitare oscuramenti o attacchi si chiama insurance.aes256 e pesa circa 1,4 gigabyte. Le info, i dubbi, le coordinate per scaricarlo e i metodi e codici per verificarne l'(apparente) integrità sono su Cryptome. Altre info sono su Wired.
La password per leggerlo non è in circolazione, ma è prudente dare per scontato che l'NSA l'abbia scoperta. Potrebbe anche trattarsi di un bluff per far sapere al mondo che l'NSA è in grado di farlo. Bella la storia, citata da Cryptome, della backdoor NSA infilata nel sistema di cifratura "invulnerabile" della Crypto AG, rivelata poi da un dipendente (maggiori info sono su Schneier.com).
Raccomandazione: non scaricate il file insurance.aes256 da siti sconosciuti o da circuiti peer-to-peer. Appioppare a un file infettante il nome di un file molto desiderato è una delle tecniche di attacco più comuni: potreste scoprire di aver scaricato un cavallo di Troia o un film che mette a nudo le natiche più che le tematiche. La checksum SHA1 del file originale di Wikileaks è
cce54d3a8af370213d23fcbfe8cddc8619a0734c
Non aprite altri file omonimi senza averne prima verificato la checksum.
2010/12/07
Wikileaks: continua la battaglia online e offline, arrestato Assange
L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2010/12/10.
Rieccomi al Maniero Digitale con un breve aggiornamento sulla vicenda di Wikileaks, che sta dominando il mondo delle notizie online e offline.
Parto con una perla che chiarisce bene la differenza fra ufologi seri e fufologi: "Julian Assange è forse un extraterrestre in missione sul nostro pianeta?" Se lo chiede, a quanto pare in modo per nulla ironico, Alfredo Benni: non un membro qualsiasi di un forum, ma uno che si definisce "Consigliere Nazionale" e "Coordinatore CUN Lombardia". Siamo in buone mani. Grazie a Gavagai per la segnalazione.
Il conto corrente postale svizzero di Wikileaks sul quale convergevano i fondi per la difesa legale di Julian Assange (31.000 euro) è stato chiuso perché Assange, secondo PostFinance, avrebbe "fornito informazioni false in merito al proprio luogo di residenza durante la procedura di apertura del conto". Quest'azione fa seguito al blocco di un conto PayPal sul quale erano stati depositati 60.000 euro di donazioni. (comunicato stampa di Wikileaks del 6/12; comunicato di PostFinance del 6/12; BBC). Switch, il registrar svizzero presso il quale è registrato il nome di dominio Wikileaks.ch, ha dichiarato che non c'è motivo di forzarlo offline; intanto Wikileaks.ch è inaccessibile in parte degli Emirati Arabi e in Cina e il Dipartimento di Stato USA avvisa il personale e gli studenti di non parlare di Wikileaks (Emirates247.com).
"Totalmente surreale: la Pravda critica comprensibilmente gli USA per il loro tentativo di soffocare la stampa libera" (tweet di Wikileaks riferito a questo articolo su Pravda.ru). The Atlantic paragona i documenti divulgati da Wikileaks, e la reazione politica isterica che ne consegue, all'affare dei Pentagon Papers degli anni Settanta, che costò caro al presidente Nixon. Intanto c'è chi si chiede, giustamente, quando Wikileaks o un'altra organizzazione riuscirà a divulgare non solo i segreti statunitensi ma anche quelli di altri paesi, perché altrimenti si rischia di fare informazione sbilanciata e ingannevole (Salon.com).
La Svezia ha trasmesso alle autorità del Regno Unito un mandato d'arresto per Julian Assange in merito ad accuse di reati di natura sessuale (stupro, molestie sessuali e coercizione; BBC). L'avvocato di Assange dice che era in corso una trattativa per dare modo ad Assange di incontrare la polizia (BBC).
Assange, intanto, è candidato come Persona dell'Anno di Time (Time.com, con opzione di votare; valutazione media 90/100) e ci sono politici americani (Sarah Palin, per esempio) e canadesi (Tom Flanagan) che ne chiedono l'assassinio (BBC; Vancouver Sun). Assange ribatte e rilancia: se salta fuori che Obama ha approvato lo spionaggio da parte dei diplomatici USA nei confronti dei funzionari ONU segnalato da alcuni documenti divulgati da Wikileaks, il presidente statunitense dovrebbe dimettersi: "The whole chain of command who was aware of this order, and approved it, must resign if the US is to be seen to be a credible nation that obeys the rule of law. The order is so serious it may well have been put to the president for approval [...] Obama must answer what he knew about this illegal order and when. If he refuses to answer or there is evidence he approved of these actions, he must resign" (AFP).
Ieri i server svedesi di Wikileaks sono stati attaccati di nuovo con un denial of service (Swedishwire).
La lista segreta delle installazioni sensibili dal punto di vista del terrorismo in giro per il mondo, pubblicata da Wikileaks, fa discutere e rende manifesta l'ossessione per il segreto e la falsa sicurezza che ne deriva, specialmente se il segreto è l'unica protezione adottata. Seriamente: pensate che sia necessario tenere segreti i punti d'arrivo dei cavi sottomarini per telecomunicazioni? Perché gli USA dipendono da un laboratorio farmaceutico in Francia tanto da considerarne l'eventuale perdita "un impatto critico sulla salute pubblica, sulla sicurezza economica e/o sulla sicurezza nazionale e territoriale"? Che senso ha mettere nella lista delle installazioni segrete l'unico fornitore mondiale di antiveleno per serpenti a sonagli e creaturine affini? Gli estensori della lista pensano che Al Qaeda attaccherà gli USA lanciando serpenti dagli elicotteri?
Chi fa informatica sa quanti danni ha causato la cultura della security through obscurity quando è diventata la sola colonna portante della sicurezza e quando emerge (come in questo caso) che una buona ricerca in Google è capace di superarla. I governanti, a quanto pare, non hanno ancora imparato la lezione.
La BBC ha da poco annunciato l'arresto di Assange, che stamattina si è presentato a un posto di polizia londinese in risposta a un mandato di arresto europeo.
Finalmente qualcuno che parla chiaro: Kevin Rudd, ministro degli esteri australiano, dice chiaro e tondo che la responsabilità della fuga di notizie diplomatiche non è di Julian Assange, ma degli americani che non hanno saputo gestire la sicurezza di quelle notizie riservate (BBC).
Ad Assange, intanto, è stata negato il rilascio su cauzione; colmo dell'ironia, il senatore americano Lieberman (presidente dell'Homeland Security Committee) ha attaccato il New York Times per aver pubblicato i messaggi diplomatici trafugati proprio nel giorno in cui il Dipartimento di Stato USA annunciava che avrebbe ospitato la Giornata della Libertà di Stampa dell'UNESCO nel 2011 (Wikileaks).
L'accusa di reati sessuali a carico di Assange non è stata chiarita granché dai media ed è quindi facile pensare che si tratti di un'accusa di stupro. In realtà il reato, se c'è stato, è ben diverso e non così grave come sembrerebbe: le due accusatrici hanno avuto rapporti consensuali con Assange e la questione verte principalmente intorno all'uso o non uso di un preservativo. Tutta la storia è raccontata dal Daily Mail e da Raw Story, che si spinge a fare collegamenti (a dire il vero un po' tenui) fra la CIA e una delle presunte vittime di Assange.
Il Guardian ha pubblicato una cronologia delle società, dei politici e delle organizzazioni che stanno facendo pressioni o ostacolando Wikileaks dal 28 novembre scorso, data del rilascio dei primi documenti diplomatici. Gli internauti hanno contrattaccato con dei Denial of Service contro PayPal e PostFinance (BBC).
L'articolo di Wired che sembra legare l'analista di intelligence Bradley Manning (profilo su Wikipedia inglese, con molte fonti) alla fuga di documenti è qui. La prossima rivelazione di Wikileaks, secondo Forbes, riguarderà una delle principali banche o società finanziarie statunitensi. Intanto Cryptome sfida Wikileaks a presentare documenti ben più scottanti del gossip finora divulgato: per esempio, documenti riservati russi, cinesi, europei, nordcoreani, cubani e israeliani; documenti su armi nucleari o batteriologiche o manuali operativi per le camere di tortura o sui "due millenni di complicità globale con i più malvagi imperi del mondo".
Il forum del CUN risponde piuttosto piccato alla mia segnalazione della discussione "Assange è forse un extraterrestre", ma temo che non sia stata capita la mia critica di fondo: la discussione, seria o faceta che sia (giudicate voi), è tipica del problema di fondo che caratterizza la fufologia e la distingue dall'ufologia.
Il fufologo non vaglia, non filtra, non valuta, ma spiattella e diffonde qualsiasi tesi, non importa quanto sia strampalata. Ha sospeso ogni senso critico. Conferisce pari dignità e visibilità alle tesi ben documentate e plausibili e a quelle più ridicole e inconsistenti, annacquando le prime in un brodo che ha il sapore del nulla delle seconde. Mette sullo stesso piano l'esobiologia e l'idea che gli alieni siano tra noi travestiti da giornalisti australiani. Se poi viene preso poco sul serio, non si lamenti e non pianga censure.
Rieccomi al Maniero Digitale con un breve aggiornamento sulla vicenda di Wikileaks, che sta dominando il mondo delle notizie online e offline.
Parto con una perla che chiarisce bene la differenza fra ufologi seri e fufologi: "Julian Assange è forse un extraterrestre in missione sul nostro pianeta?" Se lo chiede, a quanto pare in modo per nulla ironico, Alfredo Benni: non un membro qualsiasi di un forum, ma uno che si definisce "Consigliere Nazionale" e "Coordinatore CUN Lombardia". Siamo in buone mani. Grazie a Gavagai per la segnalazione.
Il conto corrente postale svizzero di Wikileaks sul quale convergevano i fondi per la difesa legale di Julian Assange (31.000 euro) è stato chiuso perché Assange, secondo PostFinance, avrebbe "fornito informazioni false in merito al proprio luogo di residenza durante la procedura di apertura del conto". Quest'azione fa seguito al blocco di un conto PayPal sul quale erano stati depositati 60.000 euro di donazioni. (comunicato stampa di Wikileaks del 6/12; comunicato di PostFinance del 6/12; BBC). Switch, il registrar svizzero presso il quale è registrato il nome di dominio Wikileaks.ch, ha dichiarato che non c'è motivo di forzarlo offline; intanto Wikileaks.ch è inaccessibile in parte degli Emirati Arabi e in Cina e il Dipartimento di Stato USA avvisa il personale e gli studenti di non parlare di Wikileaks (Emirates247.com).
"Totalmente surreale: la Pravda critica comprensibilmente gli USA per il loro tentativo di soffocare la stampa libera" (tweet di Wikileaks riferito a questo articolo su Pravda.ru). The Atlantic paragona i documenti divulgati da Wikileaks, e la reazione politica isterica che ne consegue, all'affare dei Pentagon Papers degli anni Settanta, che costò caro al presidente Nixon. Intanto c'è chi si chiede, giustamente, quando Wikileaks o un'altra organizzazione riuscirà a divulgare non solo i segreti statunitensi ma anche quelli di altri paesi, perché altrimenti si rischia di fare informazione sbilanciata e ingannevole (Salon.com).
La Svezia ha trasmesso alle autorità del Regno Unito un mandato d'arresto per Julian Assange in merito ad accuse di reati di natura sessuale (stupro, molestie sessuali e coercizione; BBC). L'avvocato di Assange dice che era in corso una trattativa per dare modo ad Assange di incontrare la polizia (BBC).
Assange, intanto, è candidato come Persona dell'Anno di Time (Time.com, con opzione di votare; valutazione media 90/100) e ci sono politici americani (Sarah Palin, per esempio) e canadesi (Tom Flanagan) che ne chiedono l'assassinio (BBC; Vancouver Sun). Assange ribatte e rilancia: se salta fuori che Obama ha approvato lo spionaggio da parte dei diplomatici USA nei confronti dei funzionari ONU segnalato da alcuni documenti divulgati da Wikileaks, il presidente statunitense dovrebbe dimettersi: "The whole chain of command who was aware of this order, and approved it, must resign if the US is to be seen to be a credible nation that obeys the rule of law. The order is so serious it may well have been put to the president for approval [...] Obama must answer what he knew about this illegal order and when. If he refuses to answer or there is evidence he approved of these actions, he must resign" (AFP).
Ieri i server svedesi di Wikileaks sono stati attaccati di nuovo con un denial of service (Swedishwire).
La lista segreta delle installazioni sensibili dal punto di vista del terrorismo in giro per il mondo, pubblicata da Wikileaks, fa discutere e rende manifesta l'ossessione per il segreto e la falsa sicurezza che ne deriva, specialmente se il segreto è l'unica protezione adottata. Seriamente: pensate che sia necessario tenere segreti i punti d'arrivo dei cavi sottomarini per telecomunicazioni? Perché gli USA dipendono da un laboratorio farmaceutico in Francia tanto da considerarne l'eventuale perdita "un impatto critico sulla salute pubblica, sulla sicurezza economica e/o sulla sicurezza nazionale e territoriale"? Che senso ha mettere nella lista delle installazioni segrete l'unico fornitore mondiale di antiveleno per serpenti a sonagli e creaturine affini? Gli estensori della lista pensano che Al Qaeda attaccherà gli USA lanciando serpenti dagli elicotteri?
Chi fa informatica sa quanti danni ha causato la cultura della security through obscurity quando è diventata la sola colonna portante della sicurezza e quando emerge (come in questo caso) che una buona ricerca in Google è capace di superarla. I governanti, a quanto pare, non hanno ancora imparato la lezione.
Aggiornamento (12:00)
La BBC ha da poco annunciato l'arresto di Assange, che stamattina si è presentato a un posto di polizia londinese in risposta a un mandato di arresto europeo.
Aggiornamento (2010/12/08)
Finalmente qualcuno che parla chiaro: Kevin Rudd, ministro degli esteri australiano, dice chiaro e tondo che la responsabilità della fuga di notizie diplomatiche non è di Julian Assange, ma degli americani che non hanno saputo gestire la sicurezza di quelle notizie riservate (BBC).
Ad Assange, intanto, è stata negato il rilascio su cauzione; colmo dell'ironia, il senatore americano Lieberman (presidente dell'Homeland Security Committee) ha attaccato il New York Times per aver pubblicato i messaggi diplomatici trafugati proprio nel giorno in cui il Dipartimento di Stato USA annunciava che avrebbe ospitato la Giornata della Libertà di Stampa dell'UNESCO nel 2011 (Wikileaks).
L'accusa di reati sessuali a carico di Assange non è stata chiarita granché dai media ed è quindi facile pensare che si tratti di un'accusa di stupro. In realtà il reato, se c'è stato, è ben diverso e non così grave come sembrerebbe: le due accusatrici hanno avuto rapporti consensuali con Assange e la questione verte principalmente intorno all'uso o non uso di un preservativo. Tutta la storia è raccontata dal Daily Mail e da Raw Story, che si spinge a fare collegamenti (a dire il vero un po' tenui) fra la CIA e una delle presunte vittime di Assange.
Il Guardian ha pubblicato una cronologia delle società, dei politici e delle organizzazioni che stanno facendo pressioni o ostacolando Wikileaks dal 28 novembre scorso, data del rilascio dei primi documenti diplomatici. Gli internauti hanno contrattaccato con dei Denial of Service contro PayPal e PostFinance (BBC).
L'articolo di Wired che sembra legare l'analista di intelligence Bradley Manning (profilo su Wikipedia inglese, con molte fonti) alla fuga di documenti è qui. La prossima rivelazione di Wikileaks, secondo Forbes, riguarderà una delle principali banche o società finanziarie statunitensi. Intanto Cryptome sfida Wikileaks a presentare documenti ben più scottanti del gossip finora divulgato: per esempio, documenti riservati russi, cinesi, europei, nordcoreani, cubani e israeliani; documenti su armi nucleari o batteriologiche o manuali operativi per le camere di tortura o sui "due millenni di complicità globale con i più malvagi imperi del mondo".
2010/12/10
Il forum del CUN risponde piuttosto piccato alla mia segnalazione della discussione "Assange è forse un extraterrestre", ma temo che non sia stata capita la mia critica di fondo: la discussione, seria o faceta che sia (giudicate voi), è tipica del problema di fondo che caratterizza la fufologia e la distingue dall'ufologia.
Il fufologo non vaglia, non filtra, non valuta, ma spiattella e diffonde qualsiasi tesi, non importa quanto sia strampalata. Ha sospeso ogni senso critico. Conferisce pari dignità e visibilità alle tesi ben documentate e plausibili e a quelle più ridicole e inconsistenti, annacquando le prime in un brodo che ha il sapore del nulla delle seconde. Mette sullo stesso piano l'esobiologia e l'idea che gli alieni siano tra noi travestiti da giornalisti australiani. Se poi viene preso poco sul serio, non si lamenti e non pianga censure.
2010/12/04
Info su Wikileaks
Wikileaks sotto tiro
L'articolo è stato aggiornato dopo la pubblicazione iniziale.
Sono in vacanza alla Reunion, un raduno di fantascienza a Montecatini Terme, ma sto seguendo la vicenda Wikileaks, che ha aspetti tecnici decisamente interessanti: quanto può reggere un sito se ha alle calcagna una superpotenza mondiale e sta irritando molti altri governi? Piuttosto a lungo, a quanto pare, soprattutto se dissemina le proprie informazioni e si allea con i media tradizionali.
Ho raccolto un po' di link in questo articolo per la RSI e ho fatto un po' di storia di Wikileaks per il Disinformatico radiofonico di ieri, scaricabile e ascoltabile come podcast per qualche settimana, e in un'intervista per Panorama. Chicca: Julian Assange, il volto pubblico di Wikileaks, dice che nei documenti diplomatici che vengono pubblicati man mano ci sono anche riferimenti agli UFO. TheDandy ha pubblicato una minilista di istruzioni su come seguire la vicenda e ricercare nei documenti di Wikileaks.
Stamattina (4/12) il conto Paypal di Wikileaks è stato bloccato perché le regole contrattuali di Paypal non consentono di usare il servizio per scopi illegali (BBC).
Iscriviti a:
Post (Atom)