Cyber Security
Rinnovo del FISA Section 702: estensione dei poteri di sorveglianza senza mandato
Tempo di lettura: 2 minuti. Il Congresso USA rinnova il Section 702 del FISA, estendendo i poteri di sorveglianza senza mandato per altre due anni
Il Congresso statunitense ha rinnovato il Section 702 del Foreign Intelligence Surveillance Act (FISA), conferendo alle agenzie federali altri due anni di poteri di sorveglianza senza mandato. Questa decisione ha sollevato preoccupazioni significative riguardo alle libertà civili e alla privacy degli individui.
Dettagli del rinnovo
La legge, nota come Reforming Intelligence and Securing America Act (RISAA), è stata approvata dal Senato con un voto di 60 a 34 e successivamente firmata dal Presidente Biden. Le modifiche incluse nel rinnovo estendono la lista di entità e individui che possono essere obbligati a collaborare con il governo statunitense nelle sue attività di sorveglianza.
Discussioni e Critiche
Durante il processo di approvazione, sono state proposte diverse modifiche intese a limitare le capacità di sorveglianza senza mandato delle agenzie di intelligence, inclusa una che avrebbe richiesto di dimostrare il motivo probabile e ottenere un mandato prima di accedere alle comunicazioni private dei cittadini americani. Tuttavia, queste proposte sono state respinte.
Implicazioni per la Privacy e le Libertà Civili
Il rinnovo di Section 702 permette alle agenzie come FBI, CIA, NSA e il National Counterterrorism Center (NCTC) di continuare a raccogliere e analizzare comunicazioni, come chiamate telefoniche, messaggi di testo e email, coinvolgendo cittadini stranieri residenti fuori dagli Stati Uniti. Tuttavia, se queste comunicazioni coinvolgono cittadini americani, esse vengono ugualmente intercettate senza necessità di un mandato, sollevando preoccupazioni su abusi e mancanza di sorveglianza adeguata.
Reazioni e Prospettive Future
Diverse organizzazioni per la tutela della privacy e delle libertà civili, come l’American Civil Liberties Union (ACLU), hanno espresso profonda delusione per il rinnovo di questa legge e hanno promesso di continuare a spingere per riforme significative. Anche alcuni membri del Senato, come Ron Wyden, hanno criticato aspramente il processo e le disposizioni della legge, promettendo di lavorare per modifiche future.
Il rinnovo di Section 702 rappresenta una continua sfida per il bilanciamento tra sicurezza nazionale e protezione delle libertà individuali. Mentre le agenzie governative sostengono l’importanza di questi strumenti per la sicurezza nazionale, molti vedono in queste pratiche una minaccia significativa alla privacy e ai diritti civili.
Leggi lo speciale sul futuro di Internet
Cyber Security
NATO e UE condannano gli attacchi di APT28 a Germania e Repubblica Ceca
Tempo di lettura: 2 minuti. NATO e UE condannano gli attacchi cibernetici della Russia contro Germania e Repubblica Ceca, mettendo in luce le serie minacce alla sicurezza e alla democrazia.
Recentemente, NATO e Unione Europea, insieme ad altri partner internazionali, hanno formalmente condannato una lunga campagna di spionaggio cibernetico condotta dall’APT28 collegato alla Russia contro diversi paesi europei, inclusi Germania e Repubblica Ceca.
Dettagli degli Attacchi
Gli attacchi sono stati attribuiti al gruppo di minaccia russo APT28, associato al servizio di intelligence militare russo GRU. Questo gruppo è noto per le sue operazioni prolungate di spionaggio cibernetico. In Germania, APT28 ha compromesso molti account email tramite una vulnerabilità zero-day di Microsoft Outlook. Inoltre, il gruppo ha colpito varie autorità governative e aziende nei settori della logistica, armamenti, industria aerospaziale e servizi IT, così come fondazioni e associazioni.
Reazioni e dichiarazioni
La Repubblica Ceca, basandosi su informazioni dei servizi di intelligence, ha rivelato che alcune delle sue istituzioni sono state bersaglio nella campagna di Outlook nel 2023. Il Ministero degli Affari Esteri ceco ha espresso profonda preoccupazione per questi ripetuti attacchi cibernetici da parte di attori statali e ha sottolineato la determinazione a rispondere con fermezza a questo comportamento inaccettabile insieme ai partner europei e internazionali. Questi attacchi sono considerati una minaccia seria alla sicurezza nazionale e al processo democratico su cui si basa la società libera.
Implicazioni più Ampie
Il Consiglio dell’Unione Europea e la NATO hanno dichiarato che APT28 ha anche attaccato infrastrutture critiche e agenzie governative in altri stati membri dell’UE, inclusi Lituania, Polonia, Slovacchia e Svezia. Le attività ibride recenti della Russia, che includono sabotaggi, atti di violenza, interferenze cibernetiche ed elettroniche, campagne di disinformazione e altre operazioni ibride, sono state descritte dalla NATO come una minaccia alla sicurezza degli Alleati.
La condanna formale di questi attacchi da parte di organismi internazionali come NATO e UE sottolinea l’importanza della cooperazione internazionale nel contrastare le minacce alla sicurezza cibernetica e nel mantenere la sicurezza globale. Questi sviluppi enfatizzano la necessità di rafforzare le difese cibernetiche e di lavorare insieme per prevenire future incursioni.
Cyber Security
Microsoft introduce Passkey per gli Account personali
Tempo di lettura: 3 minuti. Microsoft introduce l’autenticazione passkey per gli account personali, offrendo un metodo di accesso sicuro e senza password.
Microsoft ha annunciato che gli utenti Windows ora possono accedere ai loro account Microsoft personali utilizzando un passkey, un metodo di autenticazione senza password che utilizza Windows Hello, chiavi di sicurezza FIDO2, dati biometrici (scansioni facciali o impronte digitali) o PIN del dispositivo.
Cosa sono le Passkey
Le passkey rappresentano una forma di autenticazione senza password che utilizza una coppia di chiavi crittografiche, dove la chiave pubblica è conservata sul server del fornitore di servizi e la chiave privata è memorizzata in modo sicuro sul dispositivo dell’utente. Durante un tentativo di autenticazione, viene creato un challenge che richiede la chiave privata per risolverlo e confermare l’identità dell’utente. Poiché la chiave privata è protetta da meccanismi di sicurezza a livello di dispositivo come biometria o PIN, l’utente deve semplicemente fornire questi dati per accedere.
Vantaggi dei Passkey rispetto alle Password
I passkey, non condividendo un segreto come una password che può essere intercettato o rubato e generalmente legati a un dispositivo specifico, sono intrinsecamente resistenti al phishing. Eliminano inoltre la necessità per gli utenti di ricordare e inserire password, il che spesso porta a pratiche rischiose come il riciclo di password o l’utilizzo di password deboli. I passkey sono compatibili con diversi dispositivi e sistemi operativi, rendendo il processo di autenticazione privo di attriti.
Implementazione e Considerazioni sulla Sicurezza
Una peculiarità dell’approccio di Microsoft ai passkey è che sincronizza i passkey con gli altri dispositivi dell’utente piuttosto che conservare passkey distinti su ciascun dispositivo. Questo metodo non è il più sicuro, poiché se un attaccante guadagna accesso all’account, i passkey verrebbero sincronizzati anche sul loro dispositivo. Tuttavia, Microsoft afferma di fare ciò per motivi di comodità, consentendo alle persone di mantenere l’accesso ai loro account quando aggiornano o perdono i loro dispositivi.
Come abilitare il supporto Passkey
Per utilizzare i passkey per gli account Microsoft, è necessario prima crearne uno seguendo questo link e scegliendo l’opzione per viso, impronta digitale, PIN o chiave di sicurezza. Segui poi le istruzioni sul tuo dispositivo per finalizzare la creazione di un nuovo passkey. I passkey sono attualmente supportati su piattaforme che includono Windows 10 e versioni successive, macOS Ventura e successivi, e altri sistemi operativi importanti.
Per creare una passkey per il tuo account Microsoft, segui questi passaggi sul dispositivo per il quale desideri creare una passkey:
- Accedi al tuo account Microsoft Opzioni di sicurezza avanzate .Registrazione
- Scegli Aggiungi un nuovo modo per accedere o verificare .
- Seleziona Volto, impronta digitale, PIN o token di sicurezza .
- Segui le istruzioni sul tuo dispositivo.
- Fornisci un nome per la tua passkey.
Usando la tua passkey per accedere
Per accedere al tuo account Microsoft con una passkey, segui questi passaggi ogni volta che ricevi una richiesta di accesso.
- Scegli Opzioni di accesso o Altri modi per accedere .
- Seleziona Viso, Impronta digitale, PIN o token di sicurezza .
- Seleziona la tua passkey dall’elenco disponibile.
- Il dispositivo aprirà una finestra di sicurezza in cui potrai utilizzare il tuo volto, l’impronta digitale, il PIN o la chiave di sicurezza.
Rimozione di una passkey
Se desideri rimuovere una passkey, procedi nel seguente modo:
- Visita Opzioni di sicurezza avanzate .
- Dall’elenco in Modi per dimostrare chi sei , seleziona la passkey che desideri rimuovere.
- Scegli Rimuovi .
Dispositivi supportati
Le passkey sono supportate su quanto segue:
- Windows 10 e versioni successive.
- macOS Ventura e successivi.
- ChromeOS 109 e versioni successive.
- iOS 16 e versioni successive.
- Android 9 e versioni successive.
- Chiavi di sicurezza hardware che supportano il protocollo FIDO2.
Browser supportati
Il tuo dispositivo dovrà utilizzare un browser supportato come:
- Microsoft Edge 109 o successivo.
- Safari 16 o successivo.
- Chrome 109 o successivo.
L’introduzione dei passkey da parte di Microsoft per gli account personali segna un passo significativo verso l’eliminazione delle password, mirando a migliorare notevolmente la sicurezza contro gli attacchi di phishing e a semplificare l’esperienza di accesso per gli utenti.
Cyber Security
Controversie sull’obbligo di scansione CSAM nell’UE: rischi e critiche
Tempo di lettura: 2 minuti. Esperti criticano il piano dell’UE per obbligare le app di messaggistica a scansionare per CSAM, avvertendo di milioni di falsi positivi.
L’Unione Europea è al centro di una controversia per una proposta legislativa che obbligherebbe le piattaforme di messaggistica ad una scansione incessante delle comunicazioni private dei cittadini alla ricerca di materiale di abuso sessuale su minori (CSAM). Questa mossa potrebbe generare milioni di falsi positivi al giorno, come avvertito da centinaia di esperti di sicurezza e privacy in una lettera aperta.
Dettagli della Proposta
La proposta dell’UE non solo richiederebbe alle piattaforme di messaggistica di scansionare alla ricerca di CSAM noto, ma anche di utilizzare tecnologie di scansione non specificate per identificare CSAM sconosciuto e attività di adescamento in corso. Critici sostengono che la proposta richieda l’impossibile tecnologicamente e non raggiungerà l’obiettivo dichiarato di proteggere i bambini dall’abuso. Invece, causerebbe devastazioni sulla sicurezza di Internet e sulla privacy degli utenti del web, costringendo le piattaforme a implementare una sorveglianza indiscriminata di tutti i loro utenti con tecnologie rischiose e non provate, come la scansione lato client.
Critiche e implicazioni
Gli esperti affermano che non esiste una tecnologia capace di realizzare ciò che la legge richiede senza causare più danni che benefici. Nonostante ciò, l’UE sta procedendo indipendentemente. La lettera aperta recentemente indirizzata riguarda gli emendamenti alla proposta di regolamento sulla scansione del CSAM proposti dal Consiglio Europeo, che secondo i firmatari non riescono a risolvere i difetti fondamentali del piano.
La reazione degli Esperti
Tra i firmatari della lettera ci sono 270 accademici, tra cui esperti di sicurezza ben noti come il professor Bruce Schneier della Harvard Kennedy School e il Dr. Matthew D. Green della Johns Hopkins University, oltre a ricercatori di aziende tecnologiche come IBM, Intel e Microsoft. Una lettera aperta precedente, firmata da 465 accademici, aveva già avvertito che le tecnologie di rilevamento su cui si basa la proposta legislativa sono “profondamente difettose e vulnerabili agli attacchi“, e potrebbero portare a un significativo indebolimento delle protezioni vitali fornite dalle comunicazioni crittografate end-to-end (E2EE).
Conclusioni e futuro
Le modifiche proposte dal Consiglio sono viste come insufficienti dagli esperti, che avvertono che, dal punto di vista tecnico, la nuova proposta minerà completamente la sicurezza delle comunicazioni e dei sistemi. Mentre la scelta finale del Consiglio influenzerà la forma finale della legge, la direzione attuale potrebbe avere conseguenze catastrofiche, stabilendo un precedente per il filtraggio di Internet e modificando il modo in cui i servizi digitali vengono utilizzati in tutto il mondo, con potenziali effetti negativi sulle democrazie globali.
- Editoriali2 settimane fa
MITRE vittima di zero day Ivanti: anche i migliori le prendono
- Inchieste2 settimane fa
Mercato ITC in Italia nel 2024: numeri e crescita vertiginosa rispetto al paese
- Inchieste2 settimane fa
Managed Service Providers in Italia: numeri di un mercato in crescita
- Inchieste2 settimane fa
Cloud Italiano qual è il Trend del 2024? Aziende e servizi disponibili
- Inchieste2 settimane fa
Cloud Provider Italiani: quali sono le caratteristiche preferite dagli specialisti IT?
- Cyber Security1 settimana fa
Vulnerabilità critiche nel software Cisco: dettagli e soluzioni
- L'Altra Bolla1 settimana fa
Reddit rivoluziona l’E-Commerce con Dynamic Product Ads
- Inchieste7 giorni fa
Papa Francesco sarà al G7 e l’Italia festeggia il DDL AI