Editoriali
Cloud Nazionale: oltre ai datacenter, c’è il software
Il numero crescente di incidenti informatici che hanno coinvolto aziende private di carattere strategico e istituzioni pubbliche, soprattutto del settore sanitario, hanno riacceso la discussione di media e politica sulla necessità di un cloud nazionale al fine di proteggere adeguatamente i dati personali dei cittadini e delle istituzioni stesse.
Sembra tuttavia che l’argomento principale sia limitato all’infrastruttura fisica, ossia datacenter, server e reti di connessione, mentre poco o nulla si è detto riguardo ciò che su tali infrastrutture deve girare, ossia il software.
In effetti qualche parola si è spesa, parlando in particolare di crittografia e di chiavi di criptazione, ma l’argomento è stato trattato in modo alquanto naïf.
Quando si parla di cloud, occorre considerare che tutti i sistemi che lo costituiscono oltre a interagire tra loro interagiscono con sistemi esterni, sia direttamente ad esempio tramite servizi erogati da terzi (mappe, risorse grafiche, risoluzione di domini) sia indirettamente (ad esempio tramite servizi che sincronizzano l’orologio-calendario interno alla macchina).
Tutte queste interazioni costituiscono la superficie d’attacco che va considerata quando si fa la valutazione del livello di rischio del sistema cloud.
E’ evidente che già a questo livello di discussione il concetto di “cloud sovrano” sia da ridimensionare.
Dal punto di vista funzionale, il cloud è un sistema dinamico che permette di adeguare l’offerta di infrastruttura sulla domanda di servizio in un dato istante e in un dato luogo. Per questo nella stragrande maggioranza dei casi le macchine su cui girano i servizi sono macchine “virtuali” che possono essere spostate e moltiplicate a seconda della necessità, anche senza preavviso: la domanda di un dato servizio sono maggiori durante un click-day (eventualità che comunque ci auguriamo di vedere il meno possibile in futuro) che, per esempio, durante ferragosto. Le istanze di una CDN vengono spostate nei datacenter più geograficamente vicini agli utenti che le richiedono; per questo, sommato al fatto che l’utente di una pubblica amministrazione non è necessariamente ubicato sul suolo nazionale, potrebbe essere controproducente avere tutte le istanze raggruppate sul territorio nazionale o, peggio, in un unico datacenter. Turisti e connazionali ubicati all’estero avranno probabilmente frequente necessità di accedere a tale cloud.
Dunque riunire esclusivamente su infrastrutture nazionali tutti i servizi non solo è utopico, ma potrebbe essere anche poco efficiente, se non altro per questioni legale alla geografia.
Dal punto di vista della sicurezza, intesa come robustezza agli attacchi, una sola infrastruttura nazionale potrebbe essere un grandissimo punto debole: il concetto di ridondanza va applicato a tutte le risorse coinvolte in modo da non creare il “Single point of failure” che è di solito il più ghiotto tra i bocconi di un ipotetico avversario.
Come detto, l’argomento relativo alle risorse non hardware è stato limitato al discorso relativo alla crittografia. Questo è secondo me senza senso e fuorviante.
La crittografia moderna funziona perché si è abbandonato il concetto di nascondere l’algoritmo di cifratura; in realtà da secoli si è capito che una buona crittografia funziona se e solo se sono le chiavi ad essere segrete, mentre, viceversa, il consenso nel considerare l’algoritmo come robusto è un requisito fondamentale. Non ha quindi senso parlare di “Crittografia nazionale”, se non nel senso di inquadrare il tutto in un concetto che coinvolge non tanto gli algoritmi quanto piuttosto le procedure dietro la gestione di accessi alle risorse confidenziali. Gestire correttamente sottochiavi, accessi, credenziali e soprattutto la revoca delle stesse, è un punto critico di tutta la discussione.
Resta un punto dolente e assolutamente prioritario in tutta questa discussione.
Il software
Oggi il software di server e client è costituito a volte da centinaia di micro-componenti la cui natura e provenienza è la più disparata. Un meme assai famoso nel settore dell’infosec mostra una costruzione fatta di numerosi blocchi che poggiano su un singolo mattone “mantenuto gratuitamente da un ignoto sviluppatore in Illinois”. Esso descrive benissimo la situazione di software e sistemi in tutto il mondo.
L’incidente con il componente Log4j lo dimostra pienamente. Ci vorranno probabilmente anni prima che tutti i componenti critici che ne fanno uso siano aggiornati, e di qui ad allora si moltiplicheranno i casi di violazione attraverso questa vulnerabilità.
E’ dunque prioritario, prima ancora che discutere di infrastrutture, che la pubblica amministrazione si doti di un framework di lavoro costituito da procedure, prassi, linee guida, e infine anche moduli software che garantiscano una corretta gestione dei sistemi e delle infrastrutture su tutti i livelli; ed è prioritario anche che siano ridotte sensibilmente le migliaia di componenti utilizzate nelle varie amministrazioni con un set di moduli software comuni che siano analizzati, censiti, monitorati e soprattutto mantenuti, fin dalla loro introduzione nel framework, al fine di gestire correttamente il loro uso e il loro ciclo di vita, identificando e correggendo le eventuali vulnerabilità prima che esse vengano sfruttate per violare i sistemi del cloud nazionale.
Questi punti sono, secondo il mio parere e la mia esperienza acquista negli anni sul campo, molto più critici. Abbiamo una PA che risulta spesso anni luce indietro rispetto ai privati, sia dal punto di vista tecnologico che ancor più dal punto di vista della gestione. E’ molto più grave avere servizi gestiti con orario da sportellista o con procedure mutuate dal mondo analogico che avere i server ubicati in un’area geografica rispetto ad un’altra.
Editoriali
Telegram e X si piegano alla giustizia. Vi abbiamo detto la verità
Tempo di lettura: 3 minuti. Telegram ora condivide i dati degli utenti su richiesta legale, mentre X si conforma alle richieste legali del Brasile riguardanti la disinformazione sulle elezioni.
Le piattaforme social Telegram e X (precedentemente conosciuto come Twitter) sono al centro di importanti controversie legali in merito alla privacy degli utenti e alla gestione delle normative locali sulla libertà di espressione. Entrambe le piattaforme hanno dovuto affrontare decisioni difficili per conformarsi alle leggi di diversi paesi, con potenziali impatti su milioni di utenti.
Telegram condivide i dati degli utenti su richiesta legale
Telegram ha aggiornato la sua politica sulla privacy, annunciando che ora condividerà i numeri di telefono e gli indirizzi IP degli utenti con le autorità, se vi è un mandato legale valido. Secondo l’ultimo aggiornamento, Telegram accetterà di rivelare queste informazioni solo dopo aver ricevuto un ordine del tribunale che confermi il coinvolgimento dell’utente in attività criminali che violano i Termini di Servizio della piattaforma.
Questa rappresenta una svolta significativa rispetto alla politica precedente, che limitava la condivisione dei dati agli utenti coinvolti in sospetti di terrorismo. L’aggiornamento si inserisce in un contesto di crescente attenzione alle pratiche di privacy delle piattaforme digitali, soprattutto dopo l’arresto del CEO di Telegram, Pavel Durov, in Francia, per un’indagine legata all’uso illecito della piattaforma per traffico di droga e altre attività illegali. Telegram ha anche migliorato il suo motore di ricerca per rimuovere contenuti illegali e incoraggia gli utenti a segnalare materiale sospetto.
X (ex-Twitter) si piega alle richieste della Corte Suprema del Brasile
Nel frattempo, X, sotto la guida di Elon Musk, si è trovato in una disputa legale con la Corte Suprema del Brasile. Il conflitto ha avuto origine ad aprile 2024, quando la corte ha ordinato la rimozione di oltre 100 account social accusati di diffondere disinformazione sulle elezioni presidenziali del 2022. Inizialmente, Musk ha rifiutato di obbedire all’ordine, invocando la libertà di espressione, portando a una breve sospensione della piattaforma in Brasile.
Alla fine, X ha ceduto alle richieste della corte, accettando di nominare un rappresentante legale in Brasile, pagare le multe pendenti e riattivare gli account chiusi. Tuttavia, la situazione legale rimane incerta, con X che ha ancora cinque giorni per presentare la documentazione completa.
Questa vicenda ha suscitato critiche nei confronti di Musk, il quale sostiene di essere un difensore della libertà di parola, ma ha accettato di rispettare le leggi locali in diversi paesi, sollevando dubbi sulla coerenza delle sue posizioni. La compliance di X in Brasile rappresenta un passo verso la risoluzione del conflitto, ma la piattaforma dovrà affrontare ulteriori sfide per bilanciare la libertà di espressione con le normative nazionali e stessa sorte spetta a Telegram.
Matrice Digitale vi ha detto la verità scomoda
Capita che quando si tratta di dare le notizie e di fare le analisi secondo una logica fattuale che i lettori si indignino. E’ quello che è accaduto alla nostra redazione quando si è giustificato dal punto di vista giuridico l’arresto di Durov e si è evidenziata la forzatura di Elon Musk in Brasile nonostante ci fossero altre pressioni politiche sulla piattaforma social che derivano dai tempi di Bolsonaro.
Editoriali
Perchè l’arresto di Durov è giusto e perchè dobbiamo avere paura?
Pavel Durov, fondatore di Telegram, è in stato di arresto in una prigione francese dopo essere stato bloccato all’aeroporto di Parigi. Le motivazioni dell’arresto riguardano la responsabilità oggettiva del proprietario di una piattaforma di messaggistica “che fino ad oggi ha consentito una marea di reati indeterminata” e Telegram ha da tempo un grande problema con i principi basilari dei codici internazionali.
Perchè l’arresto è tecnicamente giusto?
Telegram è un programma di messaggistica che si è evoluto nel tempo con più servizi che l’hanno proiettato in una dimensione fittizia di piattaforma di Social Media. Telegram è l’evoluzione del Dark Web che si annida nella rete Tor, anzi, lo ha sostituito. La rete nascosta di Internet è famosa per ospitare tutto ciò che non è consentito ed è di conseguenza filtrato dai motori di ricerca e Telegram ad oggi è il luogo preferito dalla massa per accedere a contenuti vietati e servizi illegali.
E’ su Telegram che Matrice Digitale ha scoperto in esclusiva nazionale i Greenpass distribuiti gratuitamente ed è su Telegram che si articolano quotidianamente i canali che vendono droga, sottoscrizioni al pezzotto per non pagare abbonamenti salati legittimi e questo può essere anche un male minore.
E’ su Telegram che si è massimizzata la distribuzione dei Contenuti di Abuso su Minore e se prima questi contenuti erano relegati alle riservate community del Dark Web, è dalla piattaforma di Durov che sono stati diffusi contenuti di questo tipo su una scala maggiore di utenti. Quando si parla di armi e CSAM, si passa su un livello di attenzione superiore e Durov mai si è mostrato disponibile come tutti gli altri suoi colleghi che sulla moderazione dei contenuti sono stati sempre attenti a garantire il minimo essenziale ed è per questo motivo che difendere Durov dall’arresto risulta difficile mentre Musk si è protetto sulla moderazione dei contenuti illegali ed ha orientato la difesa della sua piattaforma sul dibattito della libertà di espressione. Proprio qui che iniziano le paure su un arresto che poteva essere evitato.
L’arresto di Durov mina la libertà di espressione?
L’arresto di Durov è un colpo alla libertà di espressione che dai tempi della rete combatte con la sicurezza OnLine e la domanda ricorre costantemente:
Più libertà di espressione o più sicurezza e meno free speech?
Il caso di Durov va analizzato in un contesto più ampio che parte dal Covid ed arriva fino alla guerra in Ucraina: banco di prova del mondo dell’informazione e delle prime censure ufficiali da parte dei governi e delle istituzioni. Durov è il titolare di una piattaforma che ha ospitato tutti coloro che costantemente venivano censurati dagli algoritmi di Facebook e Instagram oppure che venivano messi in shadow ban da Twitter prima dell’arrivo di Musk ed allo stesso tempo Telegram è stato il ponte tra l’informazione Russia e quella occidentale dopo che l’Europa ha comminato il primo pacchetto di sanzioni a Mosca che prevedeva l’oscuramento delle fonti vicine al Cremlino. Grazie a Telegram sono girate notizie false e propagandistiche, ma anche informazioni che si sono dimostrate corrette a differenza di quanto raccontato dai media ordinari.
L’arresto di Durov in Francia evidenzia la particolare attenzione che Macron e soci hanno nei confronti delle multinazionali tecnologiche, in virtù anche del fatto che quando ci fu l’incidente di Marsiglia, dove un giovane fu sparato dalla polizia, il presidente francese riuscì a limitare la diffusione del filmato su tutte le piattaforme social, tranne che su Telegram tanto da invocare il Digital Services act prima che entrasse in vigore.
Nel conflitto russo ucraino, Durov non si è schierato, così come non si è voluto assumere la responsabilità dei contenuti che vengono diffusi sulla sua piattaforma, ma in questo momento Telegram è la piattaforma più vicina alle fonti russe che diventano sempre più nemiche visto il coinvolgimento diretto dell’Europa nella guerra e questa può essere la causa ufficiale dell’arresto, ma c’è il forte sospetto che il motivo sia quello di ospitare le diverse propagande che si articolano quotidianamente sulla piattaforma dando vita ad una guerra simmetrica.
Durov è russo anche se ha studiato a Torino. Prima di Telegram aveva creato VK, il social russo. Nel 2011 e nel 2014 ha rifiutato di dare alle autorità russe i dati dei contestatori e di bloccare la pagina di Navalny. Putin non gli ha fatto nulla, anche se lui ha cambiato la sede dei suoi affari nel Medio Oriente, Macron, invece, l’ha sbattuto in carcere confermando la propensione ai metodi fascisti del presidente francese. In virtù delle ultime voci sugli investitori russi di X vicini al Cremlino, matura il sospetto che il prossimo ad essere colpito sia Elon Musk, già allontanato da brasile e Venezuela, perchè considerabile tecnicamente raggiungibile dalle sanzioni europee comminate alla Russia.
Editoriali
Robot viventi: interveniamo prima che sia troppo tardi
Tempo di lettura: 2 minuti. Lo sviluppo dei robot viventi richiede regolamentazione e dibattito pubblico per garantirne un uso etico e sicuro: potenzialità e sfide di questa tecnologia.
Lo sviluppo di robot viventi, una fusione tra biotecnologia e robotica, rappresenta una delle frontiere più avanzate e controverse della scienza moderna. Questi “xenobot”, come vengono spesso chiamati, sono organismi programmabili creati a partire da cellule viventi. Mentre le potenzialità di questa tecnologia sono immense, sollevano anche numerose questioni etiche e legali che necessitano di un dibattito pubblico e di una regolamentazione adeguata.
Il potenziale dei Robot Viventi
I robot viventi hanno il potenziale di rivoluzionare diversi settori, dalla medicina all’ambiente. Possono essere programmati per svolgere compiti specifici, come riparare tessuti danneggiati, rimuovere microplastiche dagli oceani o trasportare farmaci all’interno del corpo umano. Questi organismi biologici possono auto-ripararsi e adattarsi a diversi ambienti, offrendo soluzioni innovative a problemi complessi.
Questioni Etiche e Legali
Nonostante le loro promettenti applicazioni, i robot viventi sollevano importanti questioni etiche. La capacità di creare e programmare esseri viventi introduce dilemmi morali su cosa significhi “vivente” e fino a che punto possiamo spingerci nel controllo della vita biologica. La mancanza di una regolamentazione chiara potrebbe portare a usi impropri o pericolosi di questa tecnologia.
La regolamentazione è fondamentale per garantire che lo sviluppo e l’uso dei robot viventi avvengano in modo etico e sicuro. Ciò include la definizione di linee guida su come devono essere creati, utilizzati e smaltiti. Inoltre, è essenziale stabilire chi è responsabile in caso di malfunzionamenti o danni causati da questi organismi.
La necessità di un dibattito pubblico
Oltre alla regolamentazione, è cruciale coinvolgere il pubblico nel dibattito su questa tecnologia. La trasparenza e l’educazione sono chiavi per garantire che la società comprenda i benefici e i rischi associati ai robot viventi. Un dibattito pubblico inclusivo può aiutare a formare un consenso sulle direzioni etiche e pratiche per l’uso di questa tecnologia.
Lo sviluppo nel campo rappresenta una straordinaria opportunità scientifica, ma richiede un approccio attento e responsabile. La regolamentazione e il dibattito pubblico sono essenziali per assicurare che questa tecnologia venga utilizzata in modo sicuro ed etico, proteggendo sia gli individui che l’ambiente. Solo attraverso un impegno collettivo possiamo sfruttare pienamente il potenziale dei robot viventi, minimizzando al contempo i rischi.
- Sicurezza Informatica1 settimana fa
Esplosioni di cercapersone in Libano: è guerra cibernetica?
- Inchieste4 giorni fa
Hezbollah, guerra elettronica o cibernetica? Quando accadrà a noi?
- Economia1 settimana fa
GFI Software si affida a CoreTech per il canale in UK
- Sicurezza Informatica5 giorni fa
Iran spia il comitato di Trump e mobilita l’APT UNC1860
- Inchieste2 giorni fa
Metaverso Politico: Meloni è la regina del dibattito social
- Sicurezza Informatica5 giorni fa
Lazarus continua con offerte di lavoro
- Tech1 settimana fa
Windows 10 Build 19045.4955: nuovi aggiornamenti KB5043131
- Sicurezza Informatica5 giorni fa
FTC denuncia i social media: adolescenti spiati come adulti