I media cinesi e la censura durante #OccupyCentral

I movimenti di protesta a Hong Kong sono stati caratterizzati dall’uso di smartphone e social media per aggirare la censura del governo cinese.
Da quando Xi Jinping è diventato presidente della Cina nel 2013 sono aumentate le restrizioni per contenere il dissenso pubblico – anche nei social media – imponendo dure pene detentive per attivisti e chiunque possa essere una minaccia per il Partito comunista al potere.
I media cinesi, quando non hanno censurato la protesta, l’hanno definita “una campagna illegale, che mette in pericolo l’immagine globale di Hong Kong e mina l’autorità dello Stato di diritto“. I manifestanti sono descritti come “forze di opposizione radicali” e “una piccola minoranza di estremisti che non sono in grado di mobilitare la massa verso la rivoluzione“. L’entità della protesta viene sostanzialmente minimizzata; al contrario, viene descritto un quadro rassicurante.

Il 28 settembre la censura governativa mostra i muscoli: la TV di stato cinese, al posto delle immagini delle proteste, trasmette quelle di alcune migliaia di persone esultanti che sventolavano bandiere cinesi. Viene bloccato Instagram, sul quale giravano viralmente foto e video sull’uso di lacrimogeni da parte della polizia. Vengono censurate frasi come “gas lacrimogeno“, “studenti di Hong Kong” e “Occupy Central” sia sul motore di ricerca Baidu (il più diffuso in Cina) che su Sina Weibo (l’equivalente cinese di Twitter). Centinaia di account Weibo che descrivevano gli eventi di Hong Kong vengono cancellati.

Weibo removed messages, by Province

Il servizio di instant messaging KakaoTalk ha subito diverse interruzioni. Sembra che lo stesso giorno la polizia abbia anche chiesto agli operatori di telefonia mobile di interrompere i servizi di rete nell’area Admiralty di Hong Kong. Il motore di ricerca anonimo Duck Duck Go invece era inaccessibile già dal 22 settembre.

I servizi rimasti accessibili sono con tutta probabilità sorvegliati.
L’interruzione delle connessioni a Internet è peraltro prevista da una specifica ordinanza della regione a statuto speciale di Hong Kong (che pure è privilegiata rispetto alle altre della Repubblica cinese). Infatti, è sufficiente la sussistenza di una generica condizione di “emergenza” affinché il governo cinese possa chiedere ai gestori di interrompere il loro servizio, per un periodo massimo di una settimana, in una specifica zona. A complicare però un po’ le cose nell’attuazione di questo blocco è il mercato aperto di Hong Kong, dove operano ben 20 operatori di telefonia mobile.

Firechat

E’ a quel punto che è esploso l’utilizzo dell’app mobile FireChat per aggirare il blocco delle comunicazioni.

La sua caratteristica è la possibilità di comunicare pur senza avere una connessione Internet: ciò è possibile grazie al principio delle reti mesh e a connessioni peer-to-peer tramite Bluetooth oppure wi-fi. Con FireChat entro un raggio di 70 metri ogni dispositivo fa da ponte per gli altri: in una manifestazione del genere questa condizione è facilmente riscontrabile. Queste connessioni però non sono sicure in quanto FireChat non prevede la crittografia dei contenuti, quindi possono essere facilmente intercettate. Inoltre, non è possibile verificare le identità degli altri account, dietro ai quali potrebbe esserci chiunque, inclusi la polizia o hacker che intendono distribuire malware (cosa che in effetti è successa).
Dall’inizio delle proteste quest’app è stata scaricata circa 460 mila volte – principalmente da Hong Kong – e ha supportato 5,1 milioni di sessioni di chat nella zona, arrivando a gestire 33 mila chat simultanee.
Una definizione calzante per Firechat mi sembra quella data da Jeremiah Owyang di Altimeter Group, cioè “resilient network“. Aiuta infatti a creare una rete autoadattativa, praticamente impossibile da interrompere, dove le persone sono parte integrante della stessa, che le segue nei loro spostamenti.

E’ di ieri la notizia che Firechat sta introducendo la possibilità di utilizzare un profilo verificato. Questo però, se da un lato rassicura sull’identità della persona su cui ci si appoggia, dall’altro espone la stessa all’identificazione da parte della polizia. Con tutta probabilità la nuova funzionalità non verrà utilizzata durante eventi a rischio.

Non solo Firechat

I manifestanti usano anche Tor, VPN, piattaforme che criptano i contenuti e – pare – addirittura il vecchio e insicuro proxy Haystack.
Un’altra applicazione utilizzata è Telegram, che è simile a WhatsApp ma in più cripta le comunicazioni. Inoltre gli utenti possono scegliere di eliminare le conversazioni in modo permanente per evitare che vengano lette dalla polizia in caso di confisca dello smartphone (cosa normale, a Hong Kong).
Viene utilizzato anche Google Talk, avendo però cura di disattivare la lettura della cronologia delle conversazioni.

Una rete aperta, ma vulnerabile ad attacchi

Attraverso servizi come Whatsapp e Firechat è stato distribuito del malware; basta un link condiviso più un po’ di superficialità di chi lo riceve e il gioco è fatto. Per esempio, un link diffuso su Whatsapp invitava all’installazione di un’app per Android la cui paternità era (falsamente) attribuita a un gruppo di sviluppatori e attivisti pro-manifestazione.
La particolarità di questi attacchi è che sono stati colpiti sia dispositivi Apple che con sistema operativo Android. Si tratta di un Remote Access Trojan (RAT), con cui un malintenzionato può accedere alla webcam, al microfono, alla rubrica, ai registri delle chiamate, agli SMS, alla geolocalizzazione e ai file memorizzati sul dispositivo (foto, video, documenti…).
Con questa tecnica i dati possono essere violati ancor prima che vengano criptati, quindi inviati a un server di controllo.
La versione di Android può anche registrare audio, effettuare chiamate, eseguire altri comandi sul dispositivo e scaricare file da un URL o direttamente dal computer emattaccante remoto.
Per avere un’idea di massima dell’impatto che può aver avuto sui device mobili dei manifestanti, possiamo prendere come riferimento una ricerca – seppur del 2013, quindi non recentissima – condotta da Lacoon Mobile Security su un campione di 2 milioni di dispositivi. Da questa ricerca è risultato che l’1 per mille del campione esaminato era infettato da un RAT, di cui il 52% su iOS e il 35% su Android. Per completezza di informazione, occorre evidenziare che i dispositivi iOS coinvolti devono essere necessariamente jailbroken, in quanto lo Store di Apple filtra app malevole, mentre i dispositivi Android devono essere rooted (abilitati alla modifica completa del software con privilegi da amministratore, ndr).

Il numero dei manifestanti è controverso: assumendo come verosimile la stima di circa 800 mila persone fatta da più parti – su oltre 7 milioni complessivi di abitanti, di cui circa 5 milioni con diritto di voto – e conteggiando un solo dispositivo a testa, possiamo affermare con una certa approssimazione che, in condizioni normali (cioè precedentemente alle manifestazioni protesta), già 800 di loro potevano avere un dispositivo infettato. Nel corso della manifestazione però si sono verificati attacchi volti a diffondere ulteriormente in modo virale questo malware, sfruttando le vulnerabilità dei servizi aperti utilizzati e della fitta rete di interconnessioni peer-to-peer.

La cyberwar invisibile

Fin dall’inizio delle manifestazioni, la maggior parte dei siti Internet a favore dei manifestanti è stata buttata giù da attacchi informatici, compreso il sito ufficiale del movimento. Per esempio Inmediahk.net, uno di questi, il 3 ottobre ha ricevuto interrogazioni da 60MB al secondo, che hanno causato un consumo di banda 24 volte superiore alla norma. Al 6 ottobre le richieste di accesso erano diventate 2,3 milioni, provenienti tutte da un unico indirizzo IP localizzato a Hong Kong. Infine, dal 5 ottobre gli attacchi cominciarono a provenire anche da Cina, Corea del Sud e Vietnam.

Come reazione, vari siti governativi e filo-governativi sono stati colpiti da “Anonymous Asia”.

I dati della censura

Da un campione di 50-60 mila utenti in Cina monitorati da aprile risulta che il 28 settembre, il giorno in cui la protesta è esplosa, è stato cancellato (censurato) l’1,5% dei messaggi condivisi su Weibo, il quintuplo rispetto alla norma. Il rilevamento è stato effettuato con WeiboScope, un software di analisi su big data che è stato sviluppato nel 2012 dall’Università di Hong Kong. Sul sito di WeiboScope è anche possibile visualizzare la mappa geografica dei trend della censura su Weibo, suddivisa per provincia. Infine WeiboScope, oltre a recuperare i post cancellati, li ripubblica in tempo reale sul proprio account Twitter.