"In Europa ci sono già i presupposti per l'esplosione di un conflitto sociale. Questo è il seme del malcontento, dell'egoismo e della disperazione che la classe politica e la classe dirigente hanno sparso. Questo è terreno fertile per la xenofobia, la violenza, il terrorismo interno, il successo del populismo e dell'estremismo politico."

lunedì 10 maggio 2021

La Commissione Europea riduce (ma non troppo) l'utilizzo dell'identificazione biometrica

 La Commissione Ue riduce sensibilmente l’impiego dell’identificazione biometrica

10 maggio 2021 di Emanuele Galtieri, Andrea Melegari  in CyberOpinioni


È certamente il principale motivo di reazione suscitato dalla recentissima proposta della Commissione Europea di normare l’utilizzo della Intelligenza Artificiale: stiamo parlando della norma che vieta l’impiego dell’“Identificazione Biometrica remota in tempo reale in spazi accessibili al pubblico”.

Per favorire la migliore comprensione degli effetti di questa regola, è doveroso qualche approfondimento.

Come prima cosa, va sottolineato che si tratta di un divieto parziale.

Il divieto non sussiste infatti in specifiche situazioni che coinvolgono l’attività delle Forze di Polizia. Le esclusioni previste riguardano la lotta al terrorismo, le esigenze di tutela della sicurezza pubblica, le ricerche di vittime di potenziali crimini (incluso la ricerca di minori), l’identificazione di sospettati di specifici crimini (essenzialmente i 32 reati previsti dal mandato di cattura europeo) punibili con una pena di almeno tre anni. In tutti questi casi il giudice deve pre-autorizzarne l’impiego, o riceverne comunicazione giustificata e puntuale nei casi di utilizzo per urgenze di Polizia.

Il secondo punto da sviscerare è il concetto di Identificazione Biometrica.

Tecnicamente, si va oltre le tecnologie di riconoscimento facciale di cui abbiamo già ampiamente discusso in queste pagine. Le tecnologie di AI sono in grado di raccogliere, analizzare e correlare molti segnali e caratteristiche umane. Oltre al volto (di cui si è appena fatto cenno), al DNA, alle impronte digitali, ecc …, esistono infatti tante altre possibilità meno note ai non addetti ai lavori. Si pensi, ad esempio, agli algoritmi capaci di elaborare la voce, l’andatura, la postura, la sequenzialità di comportamenti, la stilometria (analisi dello stile di scrittura) …

Va specificato inoltre che il divieto riguarda “il tempo reale” e “gli spazi accessibili al pubblico” e, di fatto, significa legittimare l’uso dell’Identificazione Biometrica sia in modalità differita (non in simultanea), che in tutti gli altri spazi diversi dagli “spazi accessibili al pubblico”.

Un’ultima nota di colore, prima delle nostre riflessioni: si dice che una primissima versione della proposta presentasse questo divieto in maniera molto più rigorosa. Evidentemente la reazione decisa degli Stati membri ha obbligato la Commissione Europea ad una versione di compromesso.

È probabilmente vero che l’abuso dell’utilizzo della Intelligenza Artificiale possa potenzialmente determinare rischi di potenziale “intrusione profonda e non democratica” nella vita privata degli individui. È però altrettanto vero che le stesse tecnologie, se correttamente impiegate, possano essere di fondamentale ausilio alle Forze di Polizia, a beneficio della sicurezza nazionale.

Nessuno (e prima di tutto chi scrive) sogna il Grande Fratello di Orwell. Molti (noi inclusi), invece, auspicano un mondo più sicuro. Risulta giusto, allora, non vietare a prescindere, ma vigilare scrupolosamente il corretto utilizzo della Artificial Intelligence per legittimi intenti di Identificazione Biometrica.


Link originale: https://www.analisidifesa.it/2021/05/la-commissione-ue-riduce-sensibilmente-limpiego-dellidentificazione-biometrica/

lunedì 26 aprile 2021

Caro Giulietto, sempre con noi.

Esattamente un anno fa, il 26 aprile 2020, Giulietto Chiesa ci lasciava improvvisamente.

A me piace ricordarlo così, e celebrare il privilegio di averlo conosciuto personalmente che mi è stato concesso, con il video della sua presentazione a Roma del mio libro: https://www.youtube.com/watch?v=KN4nBvvKMdM


Non si vede bene che col cuore, l’essenziale è invisibile agli occhi




Per saperne di più: https://www.stateofmind.it/2017/03/il-piccolo-principe-analisi-psicologica/


sabato 27 febbraio 2021

Casa Bianca lavora con Facebook, Twitter e Google contro la disinformazione. (Ma chi definisce cosa è disinformazione e cosa no?)

Exclusive: White House working with Facebook and Twitter to tackle anti-vaxxers


By Nandita Bose

FEBRUARY 20, 2021 4:04 PM UPDATED




WASHINGTON (Reuters) - The White House has been reaching out to social media companies including Facebook, Twitter and Alphabet Inc’s Google about clamping down on COVID misinformation and getting their help to stop it from going viral, a senior administration official said.

President Joe Biden, who has raced to curb the pandemic since taking office, has made inoculating Americans one of his top priorities and called the move “a wartime effort.” But tackling public fear about taking the vaccine has emerged as a major impediment for the administration.

Since the onset of the pandemic, calls from lawmakers asking the companies to tackle the spread of COVID misinformation on their platforms have grown.

The White House’s direct engagement with the companies to mitigate the challenge has not been previously reported. Biden’s chief of staff Ron Klain has previously said the administration will try to work with Silicon Valley on the issue.

“Disinformation that causes vaccine hesitancy is going to be a huge obstacle to getting everyone vaccinated and there are no larger players in that than the social media platforms,” said the source, who has direct knowledge of the White House’s efforts.

“We are talking to them ... so they understand the importance of misinformation and disinformation and how they can get rid of it quickly.”

The Biden White House is especially trying to make sure such material “does not start trending on such platforms and become a broader movement,” the source said.

The source cited the example of the anti-vaccine protests at Dodger Stadium in Los Angeles in early February, and said the White House wants to stop events like that from happening again.

The protest, organized on Facebook through a page that promotes debunked claims about the coronavirus pandemic, masks and immunization, briefly blocked public access to the stadium - one of the largest vaccination sites in the country, where health authorities are administering more than 8,000 vaccines a day.

The event illustrated the extent to which social media platforms have become a critical organizing tool for movements such as the anti-vaccine drive, that spread misinformation and disinformation.

A growing number of anti-vaccine activists, emboldened by their rising social media following, have helped the movement gain strength in the United States. A report by the Center for Countering Digital Hate in July 2020 found social media accounts held by anti-vaxxers have increased their following by at least 7·8 million people since 2019.

The companies have repeatedly vowed to get rid of such material on their platforms but gaps remain in their enforcement efforts.

On Thursday, Senator Richard Blumenthal criticized the platforms in a tweet for carrying ads that he said funds and promotes “dangerous conspiracy theories, COVID-19 disinformation and malign foreign propaganda.”

A Facebook spokeswoman said that the company has reached out to the White House to offer “any assistance we can provide” and has recently announced a new policy to remove COVID and vaccine misinformation along with pages, groups, and accounts that repeatedly spread such material.

A Twitter spokesman said the company is “in regular communication with the White House on a number of critical issues including COVID-19 misinformation.”

Alphabet Inc’s Google did not comment on engagement with the White House, instead pointing to a company blog on and how it stops misinformation.

The source said the companies “were receptive” as they engaged with the White House. “But it is too soon to say whether or not it translates into lessening the spread of misinformation.”

There will be more details on how the White House is engaging with the social media companies on this issue in the “next ten days or so”, the source added.

Reporting by Nandita Bose in Washington, Editing by Chris Sanders and Nick Zieminski



Link originale: https://www.reuters.com/article/health-coronavirus-white-house-exclusive-idINKBN2AK0HP

venerdì 12 febbraio 2021

Virus informatici e cyberattacchi, la prossima pandemia?

 Risque cyber, la future pandémie ?

Rançonnage, malware, phishing… Pour les entreprises, l'année écoulée aura été marquée par la recrudescence des cyberattaques, sur fond de recours massif au télétravail. Et 2021 s'annonce déjà du même bois. Voire pire.



Les Echos, Publié le 10 févr. 2021 à 7:08Mis à jour le 10 févr. 2021 à 12:36


Bouygues Construction en mars, CMA CGM en septembre, les villes d'Annecy et de la Rochelle fin décembre… En 2020, les exemples de cyberattaques d'envergure, en particulier par ransomware , se sont multipliés. Selon une étude réalisée en octobre en France pour le compte du spécialiste de la sécurité Proofpoint, 9 entreprises sur 10 déclaraient avoir été victimes d'au moins une cyberattaque majeure au cours des douze derniers mois, deux tiers déclarant même des incidents multiples. Le nombre de dossiers traités par l'Anssi, l'Agence nationale de la sécurité des systèmes d'information a été multiplié par quatre en 2020, comparé à l'année 2019, rien que pour les rançongiciels.

Bref, plus personne ne peut aujourd'hui faire l'impasse : « le risque cyber concerne toutes les entreprises », confirme Alain Bouillé, vice-président du Cesin, le Club des experts de la sécurité de l'information et du numérique. Les attaques se sont sophistiquées. « Menacer de chiffrer les informations de l'entreprise ne suffit plus aux cybercriminels », explique Vincent Desroches, chef de la division méthodes de management de la sécurité numérique à l'Anssi. Les pirates ont appris à diversifier leurs sources de revenus, « menaçant d'abord de divulguer au compte-gouttes les données siphonnées, puis de les livrer au plus offrant, en plus de les chiffrer », analyse l'expert. Le moyen de mettre un maximum de pression sur les victimes et de faire monter les enchères.


Des enjeux multiples

Les sommes en jeu peuvent alors vite grimper, et se compter en dizaines de milliers d'euros, voire en millions, avec des conséquences opérationnelles parfois catastrophiques pour les entreprises. Et, même si la doctrine officielle reste toujours la même, à savoir « ne jamais payer », rappelle l'expert de l'Anssi, certaines entreprises peuvent être alors tentées de le faire, croyant éviter le pire.


Car les enjeux cyber sont aujourd'hui « multiples pour les entreprises », souligne Alain Conrard, CEO de Prodware Group, et président de la commission digitale du Meti, « à la fois d'ordre opérationnel, de réputation, concurrentiel. Sans oublier l'impact financier en cas d'attaque. »

 

Sensibiliser, sauvegarder, assurer

Alors, comment se prémunir, couvrir ces risques ? « Il convient d'abord de bâtir un socle de sécurité », assure Vincent Desroches. La démarche peut être commencée par un audit de sécurité et une analyse de la menace, afin de prendre la juste mesure du risque. L'expert exhortant, ensuite, les entreprises « à intégrer le risque cyber dans leur stratégie, au même titre que leurs autres grands risques systémiques. »

Un poids important repose alors sur les épaules du RSSI, le monsieur « gestion du risque cyber ». « Ce qu'on préconise, surtout, à l'Anssi, c'est qu'il ait un lien étroit avec le comex, afin que la sécurité cyber fasse partie de l'ADN de l'entreprise. » Le bon moyen aussi d'installer une sécurité en profondeur, et de limiter les dégâts en cas de franchissement de la première ligne de défense.

Côté PME, « sensibiliser, faire des sauvegardes » : les recettes demeurent peu ou prou les mêmes, rappelle Jérôme Notin, directeur général de cybermalveillance.gouv.fr. Sans oublier, pour couvrir les risques résiduels, de souscrire à une police d'assurance dédiée. « Mais ce n'est pas ça, qui vous rendra vos données », souligne Jérôme Notin.


Surveiller son écosystème

Pour Alain Bouillé, « les entreprises qui s'en sortent le mieux seront surtout celles qui misent sur des solutions de supervision efficaces, afin de détecter les signaux faibles, le plus tôt possible ». Bien avant la paralysie. « Il faut vraiment surveiller tout son écosystème : cloud, partenaires, serveurs DNS… », insiste, quant à lui, Thierry Auger, directeur cybersécurité chez Lagardère. « C'est vital ! »

Alors le risque cyber, la prochaine pandémie ? « La question n'est pas de savoir si cela va arriver, mais quand… », assure Stéphane Volant, président du CDSE, le Club des directeurs de sécurité des entreprises. « On ne peut pas l'exclure, abonde Alain Bouillé. Nous sommes, aujourd'hui, très dépendants. Nous utilisons tous le même réseau et avons recours aux mêmes fournisseurs de solutions logicielles. Tous américains. » Et Jérôme Notin de s'interroger. « Qu'adviendrait-il, par exemple, si une faille majeure sur Windows Server était exploitée.»

Stéphane Volant du CDSE renchérit. «Et comment fera-t-on s'il faut créer des gestes barrières et fermer les frontières avec les milliards d'échanges chaque jour sur le Net et tous nos serveurs à l'étranger ? Où a-t-on écrit le scénario dans lequel on reconfine sans pouvoir utiliser le numérique ? La catastrophe est devant nous… ».

On comprend que beaucoup s'alarment, attendant de l'Etat une réponse rapide. Elle passera notamment par l'ouverture, à l'automne prochain, du campus cyber . Ce « lieu totem de la cybersécurité », en France, rassemblera, Tour Eria à La Défense, les principaux acteurs nationaux et internationaux du domaine : grands groupes, PME, services de l'Etat, organismes de formation, acteurs de la recherche et associations. Avec des déclinaisons déjà prévues en région… « En espérant qu'il ne soit pas déjà trop tard », souffle Alain Bouillé.



Link originale: https://www.lesechos.fr/thema/risk-management-2021/risque-cyber-la-future-pandemie-1288905

venerdì 5 febbraio 2021

Sul terrorismo e il concetto di "emergenza permanente"

 Dambruoso: “il terrorismo islamista non è sconfitto“

Analisi Difesa, 5 febbraio 2021 di Redazione



Stefano Dambruoso, magistrato, attualmente sostituto procuratore a Bologna ed ex Questore della Camera dei Deputati dal 2013 al 2018, ha tenuto ieri una lezione dal titolo: “La Deradicalizzazione: il qudro giuridico” nel corso del Master in Intelligence dell’Università della Calabria, diretto da Mario Caligiuri.

Dambruoso ha ripercorso inizialmente le tappe della nascita del radicalismo islamico in Europa. “Il radicalismo di matrice islamica- ha detto – è emerso in maniera molto potente intorno al 2012. Allora abbiamo cominciato a comprendere che la strategia dei terroristi islamici stava cambiando, poiché sempre più singole persone interpretavano il Corano nel modo più estremo possibile”.


Il 2015 è stato un anno cruciale, aperto con l’assalto alla redazione di “Charlie Hebdo” e concluso con l’assalto al Bataclan di Parigi. Nella medesima strategia del terrore si è proseguito nel 2016 e nel 2017 con attentati di particolare gravità in molti Paesi Europei.

In questo quadro un ruolo fondamentale è stato svolto dall’Isis, che attraverso la propaganda svolta sul web è stato in grado di radicalizzare moltissime persone, i cosiddetti “ foreing fighters”,  che dall’Europa si sono spostati verso il Medioriente”.

“L’Unione Europea – sostiene Dambruoso (nella foto a lato) – ha cercato di contrastare la strategia del terrore promuovendo una serie di iniziative per creare le basi di un avvicinamento culturale e religioso tra due mondi apparentemente molto lontani. E’ maturata l’idea che occorre intervenire prima che si verifichi la radicalizzazione delle persone”.

“L’Italia – ha proseguito – oltre a porre le basi per un avvicinamento culturale e religioso con il mondo islamico, si è dotata anche di una serie di strumenti giuridici per contrastare il fenomeno del terrorismo.  Il legislatore italiano – ha affermato Dambruoso- nel 2015 ha introdotto nell’ordinamento giuridico alcune norme che restringono gli spazi di libertà per cercare di anticipare e punire comportamenti che possono rappresentare il preludio per futuri attentati. Sono state introdotte, nel nostro codice penale, fattispecie di reato specifiche che puniscono chi, ad esempio, sui siti internet insegna a costruire ordigno, organizza viaggi oppure promuove il reclutamento o l’auto-reclutamento in gruppi terroristici”.


“In Italia – ha ricordato Dambruoso – in vent’anni di terrorismo non c’è stato nessun attentato. Il merito è delle competenze maturate dalla magistratura e dalle forze di polizia che hanno contrastato il fenomeno del terrorismo politico interno negli anni più bui della storia repubblicana.

Ma anche da una serie di provvedimenti amministrativi posti in essere, tra il 2016 ed il 2018, dal Ministero dell’Interno che hanno consentito l’espulsione preventiva di circa 200 persone sospettate di essere vicine agli ambienti del terrorismo di matrice islamica”.

In conclusione ha affermato Dambruoso che “per contrastare il terrorismo – che non è ancora sconfitto – insieme alle norme è necessario predisporre anticorpi culturali. E’ necessario intervenire sulla formazione dei docenti nelle scuole e nelle università perché tra pochi anni la presenza degli immigrati di fede islamica sarà crescente nel nostro Paese. Così come è necessario intervenire all’interno delle carceri che spesso diventano luoghi di radicalizzazione per eccellenza”.


Link originale: https://www.analisidifesa.it/2021/02/dambruoso-il-terrorismo-islamista-non-e-sconfitto/

lunedì 1 febbraio 2021

Apps di controllo parentale condividono dati dei minori senza alcun consenso

 Parental control Apps behaving Badly

Researchers from EPFL and Spain’s IMDEA Software Institute and IMDEA Networks Institute, have found that many parental control applications collect and share data without consent, and fail to comply with regulatory requirements.



Parental control applications available on Android through the Google Play Store are used by parents to monitor and limit their children’s online activities and even physical location; for example, to examine a child’s web browsing history, to block or limit their access to certain websites or features, or through surveilling the location of their mobile devices to know where their children are.

By definition, these apps are highly intrusive as they require privileged access to system resources and sensitive data to do their jobs. This access may reduce the dangers associated with kids’ online activities but this new research has found that the apps raise important privacy concerns, so far overlooked by regulators and organizations that provide recommendations to the public on their use.

The Study

The researchers, including Carmela Troncoso, head of the Security and Privacy Engineering Lab (SPRING) at EPFL’s School of Computer and Communication Sciences (IC), conducted the first in-depth study of the Android parental control app’s ecosystem from a privacy and regulatory point of view, studying 46 different apps from 43 developers. Combined, these apps have been installed more than 20-million times in the Google Play Store.

Using a combination of static and dynamic analysis they found that almost 70% of the apps share private data without user consent and close to 75% contain data-driven third-party libraries for secondary purposes including social networks, online advertising, and analytics. 80% of the apps that share data with third parties do not name them in their privacy policy, lacking not only transparency but compliance with regulatory requirements.

Troncoso says she was surprised at the extent that these surveillant libraries infiltrate parental control apps given ongoing concerns around data privacy, and as current legislation (such as Europe’s GDPR) protects children’s data from being accessed without clear parental consent.

“With some of the apps you can’t look at anything on your phone without information being sent to the backend server. If you have changed to Signal because WhatsApp has decided to give your data to Facebook, maybe you don’t want to have an app on your child’s device that gives all their data, every single link that they click on, to them and even to third parties.”

Policy Implications

The researchers hope that the findings open a debate on the privacy risks introduced by these apps particularly around whether the apps’ potential to protect children justifies the risks regarding the sharing of their data. They also hope that regulators will look beyond the price, capabilities or usability of these apps and ensure that they are also benchmarked in terms of security and privacy analysis to help parents make the best choices.

“If apps are going to be allowed to monitor children, they should probably have much tighter checks than currently exist. The question is by whom, and how, and this is difficult, however, we need to have safeguards and what our study shows is that the landscape is more like the wild west right now,” concluded Troncoso.

** The researchers Álvaro Feal (IMDEA Networks Institute), Paolo Calciati (IMDEA Software Institute), Narseo Vallina-Rodríguez (IMDEA Networks Institute), Carmela Troncoso (Spring Lab EPFL), and Alessandra Gorla (IMDEA Software Institute) have won the "Prize for the research and Personal Data Protection Emilio Aced" given by the Spanish data protection agency (AEPD), for the paper "Angel or Devil? A Privacy Study of Mobile Parental Control Apps."


Author: Tanya Petersen
Source: EPFL

Link originale: https://actu.epfl.ch/news/parental-control-apps-behaving-badly/

mercoledì 20 gennaio 2021

Come i Governi combattono la libertà di informazione sui Social Media

L'attacco hacker a Telegram è riconducibile alle proteste di Hong Kong, dice Durov

11:41, 14 giugno 2019, AGI.IT, di Raffaele Angius





Il fondatore della popolare app russa di messaggistica ha denunciato l'attacco informatico, secondo lui riconducibile al governo cinese

La popolare app di messaggistica Telegram denuncia di aver subito un attacco informatico mirato a sospenderne il servizio, ricollegandolo ai recenti scontri che si stanno verificando a Hong Kong. Secondo quanto riporta l’account Twitter della società russa, dietro al tentativo di sabotaggio ci sarebbe il governo cinese, accusato di aver compiuto degli attacchi Distributed Denial of Service (DDoS), che prevedono l’invio simultaneo di centinaia di gigabyte di dati per causare interruzioni al servizio.

“Gli indirizzi di provenienza dell’attacco risalgono prevalentemente alla Cina. Storicamente, tutti gli attacchi DDoS che abbiamo subito (compatibili con, ndr) una forza statale - 200-400 gigabyte al secondo di spazzatura - coincidevano con delle proteste a Hong Kong (che vengono coordinate su Telegram)”, scrive Pavel Durov, fondatore e amministratore delegato del servizio.

Negli ultimi giorni la popolazione di Hong Kong ha invaso le strade della città, in protesta contro una proposta di legge che permetterebbe la consegna di fuggitivi anche a Paesi con cui non è in vigore un trattato in questo campo, tra cui la Cina. Risorsa spesso utilizzata come strumento di coordinamento tra gli attivisti, Telegram accusa proprio Pechino di essere responsabile dell’attacco.

Una ironica descrizione di come avviene un Distributed Denial of Service l’ha fornita lo stesso account Twitter di Telegram, che scrive: “Immaginate che un esercito di lemmings vi superi in coda dal McDonald - e che ognuno abbia ordinato un whopper (tipico panino del menù di Burger King). Il server è impegnato a dire a tutti i lemmings che sono nel posto sbagliato - ma sono così tanti che il server non può nemmeno vedervi per provare a prendere il vostro ordine”.

“Fortunatamente - si legge - questi lemming sono lì solo per sovraccaricare il servizio, ma non possono in alcun modo rubare la vostra Coca Cola e il vostro BigMac”, in riferimento al fatto che l’obiettivo dell’attacco non è quello di acquisire i dati degli utenti.

La cifratura di Telegram

Meno sicuro di quanto si creda, il servizio di messaggistica non offre la cifratura end-to-end delle comunicazioni come impostazione di base. In verità, qualunque messaggio inviato nella modalità di default, è cifrato end-to-server: questo vuol dire che la comunicazione non è intercettabile da attori esterni, ma anche che chi gestisce i server di Telegram possiede le chiavi di accesso per leggere il contenuto dei messaggi. I server di Telegram risiedono in Russia.

Il meccanismo scelto da Telegram è funzionale alla sincronizzazione delle conversazioni tra più dispositivi (basato sul cloud), ma è meno sicuro di quello fornito da servizi concorrenti come Whatsapp e, soprattutto, Signal Private Messenger - app progettata specificamente per attivisti e giornalisti.

Per ottenere un livello di sicurezza paragonabile a quello di Signal anche su Telegram, l’utente deve avviare specifiche conversazioni private, che hanno la funzione aggiuntiva della cifratura end-to-end. Tuttavia, il codice sorgente di Telegram è solo parzialmente pubblico: ragione per la quale è difficile determinare se la app sia programmata correttamente e sia in effetti sicura. 


Link originale: https://www.agi.it/cronaca/telegram_attacco_hacker-5658772/news/2019-06-14/