Blog sulla sicurezza informatica e l’informazione dei sistemi

Andrea Biraghi, Cyber Security manager e direttore della divisione Security and information Systems, lavora da anni per il mantenimento della sicurezza dei sistemi informativi. In una società sempre più digitalizzata ed interconnessa è divenuto ormai indispensabile prendere atto delle minacce esistenti nella rete Internet: solo un costante impegno ed aggiornamento rendono possibile affrontare e combattere i Cyber criminali e riprendersi in fretta dalla loro violazioni. La posta in gioco è alta e la sicurezza dei servizi web è fortemente legata al nostro sviluppo economico: basti pensare al rapido aumento delle connessioni, degli utenti, l’aumento del valore di numerose transazioni effettuate attraverso le reti, la crescita delle imprese legate al commercio elettronico.

Tag: privacy

Cyber spionaggio e controllo da remoto: Mollitiam e il monitoraggio di massa di profili e identità digitali

Cyber spionaggio e controllo remoto di internet: Mollitiam Industries sarebbe in procinto di sviluppare strumenti di hacking in grado di assumere il controllo di dispotivi Android, MacOS e Windows su smarthphone e tablet.

Secondo i documenti visti da Wired – materiali di marketing online non protetti – la società di cyber intelligence, con sede in Spagna, grazie afi fondi europei (UE) ha creato una nuova tecnologia di sorveglianza invasiva che consente di assumere il “controllo remoto anomimo” ed invisibile dei dispositivi connessi alla rete Internet elundendo il rilevamento. Wired cita i prodotti di intercettazione anonima come “Invisible Man” e “Night Crawler“, in grado di accedere in remoto ai file e alla posizione di un bersaglio e di accendere di nascosto la fotocamera e il microfono di un dispositivo (incluse password, attività di ricerca sul Web e persino testi scambiati su applicazioni di messaggistica crittografate). Ma non sarebbe una novità perchè Mollitiam, in un recente webinar, ha mostrato la capacità della sua tecnologia di registrare le chiamate WhatsApp, divulgare i dettagli dell’ingegneria sociale e delle tattiche di phishing utilizzate. “Conquista la fiducia del bersaglio”.La tecnologia, a basso consumo di dati e batteria di Moltiam, consente ai suoi strumenti di funzionare senza destare sospetti.

…il suo spyware sarebbe dotato di un keylogger, il che significa che ogni sequenza di tasti eseguita su un dispositivo infetto, incluse password, query di ricerca e messaggi inviati tramite app di messaggistica crittografate, può essere tracciata e monitorata.

Cyber spionaggio:

Secondo quanto riferito dalla rivista, Mollitiam è anche in procinto di implementare uno strumento per il “monitoraggio di massa di profili e identità digitali“, sia attraverso i social media sia la dark web: il progetto – viene affermato – è soprendentemente simile ad un progetto sulla raccolta dati finanziato in parte dal Fondo di sviluppo europeo (UE). Il progetto dovrebbe sviluppare una piattaforma di generazione di intelligence automatizzata che analizzi e metta in correlazione grandi quantità di dati “da fonti Internet aperte”. Wired ha esaminato i documenti ufficiali. La notizia arriva in un momento in cui vengono sollevati problemi di privacy a causa degli sforzi delle forze dell’ordine e delle agenzie di intelligence per accedere ai dati personali aggirando le tecnologie di messaggistica crittografata. Né la società né le autorità europee hanno risposto alla segnalazione.

Edin Omanovic, direttore della difesa di Privacy Watchdog Privacy International ha così affermato:

“Il fatto che abbiano ricevuto denaro pubblico dall’UE per sviluppare la loro attività è scioccante. Le capacità di mercato di Mollitiam che rappresentano una minaccia così unica per la nostra privacy e sicurezza che è altamente discutibile se tali poteri possano mai essere compatibili con il diritto internazionale sui diritti umani” .

This secretive firm has powerful new hacking tools
Mollitiam Industries claims to have created hackings tools that can take control of smartphones and laptops

Dovremmo tutti presumere che le nostre comunicazioni, anche le nostre comunicazioni crittografate, siano monitorate?

Riconoscimento facciale e privacy: quali i progressi?

Riconoscimento facciale: la tecnologia va utilizzata pensando prima di tutto alle conseguenze che può avere e alla luce di questi fatti vanno create delle regole soprattutto in materia di sperimentazione.

La buona notizia in merito è che ricercatori e informatici sono da tempo al lavoro perchè si possa utilizzare questa tecnologia per non mettere a rischio le persone, ma contemporanemente affermano che le soluzioni che si trovano oggi non saranno mai definitive mentre la stessa tecnologia subirà continue evoluzioni.

Dall’altra parte, Giuseppe Busia, segretario generale del Garante, chiarisce che in materia di privacy, le garanzie per i cittadini sono essenziali: la sperimentazione può andare avanti ma vanno create delle regole perchè ne va della libertà di tutti.

Riconoscimento facciale: la sicurezza dei dati biometrici

Riconoscimento facciale Intervista a Giuseppe Busia (Segretario generale del Garante) TGCom24

E’ chiaro che una tecnologia come questa, prima di essere introdotta solo perchè la tecnologia lo consente, vanno usate delle garanzie e le garanzie principali sono quelle della Protezione dei Dati Personali: il nuovo regolamento europeo prevede il divieto dell’uso queste tecnologie salvo casi particolari che vanno disciplinati dalla legge e che vanno tutaleti con garanzie forti.

Giuseppe Busia

Riconoscimento facciale e machine learning: una corsa contro il tempo e lo sviluppo

La buona notizia, ad oggi, è che i ricercatori hanno trovato il modo – almeno temporaneamente – di causare problemi a determinate classi di algoritmi di riconoscimento facciale, sfruttando i punti deboli dell’algoritmo di allenamento o del modello di riconoscimento risultante. La scorsa settimana infatti gli informatici dell’Università Nazionale di Singapore (NUS) ha pubblicato uno studio che illumina una nuova tecnologia: tale tecnica consiste nell’individuare le aree di un’immagine in cui i cambiamenti possono interrompere al meglio gli algoritmi di riconoscimento, dove le immagini sono meno riconoscibili dall’essere umano.

Tuttavia bisognerebbe essere in grado di riconoscere la classe del determinato algoritmo ma alla fine ciò che si può raggiungere è una soluzione per poter permettere agli utenti di inserire delle modifiche impercettibili alle immagini per renderle più difficili da classificare per gli algortimi di machine learning. Questo significa che man mano che gli algoritmi diventarenno man mano più intellgenti agli utenti non rimmarrà che la scelta di degradare ulteriormente le immagini? Purtroppo è ancora un contraddittorio e il problema non è di facile soluzione.

La verità è che ogni avanzamento è temporaneo: la tecnologia di riconoscimento facciale è in costante evoluzione come la sicurezza informatica. E’ come la storia del gatto con il topo: “Ci saranno tecniche migliori sviluppate dai raccoglitori di dati, e in risposta ci saranno tecniche di privacy migliori per contrastarli”.

L’unica attuale e concreta soluzione sembra oggi quella offerta da Giuseppe Busia: la creazione di regole e normative.

Privacy e dati personali: nasce la Global Privacy Assembly

Privacy e Dati Personali: tra le linee strategiche definite dalla XXXXI Conferenza internazionale delle Autorità per la protezione dei dati (ICDPPC) la privacy è riconosciuta al primo posto come diritto fondamentale per il buon funzionamento delle democrazie. L’ICDPPC ha fissasto inoltre i punti chiave della sua azione tra cui: lotta ai messaggi inneggianti al terrorismo sui social media, cooperazione tra le Autorità nella tutela dei dati personali e riduzione dell’errore umano nelle violazioni dei dati (data breaches).

Si è deciso inoltre di garntire alla rete di Autorità Privacy un’organizzazione permamente, operativa e più strutturata: la Global Privacy Assembly (GPA)

Andrea Biraghi privacy e dati ultime notizie
Privacy

Il piano strategico della GPA per il 2019-2021 riguarda una serie di priorità strategiche tra cui:

  • la promozione della privacy globale nell’era digitale
  • un ambiente normativo con standard chiari ed elevata protezione dei dati
  • massimizzare la voce della GPA, migliorandone il ruolo, rafforzando le relazioni con gliorganismi internazionali.
  • sviluppare le capacità e le conoscenze dei suoi membri attrverso le miglori pratiche.

Privacy e Dati Personali. Il documento del piano strategico 2019-2021 mette la cooperazione al centro del suo operato: nel supportare le autorità di tutto il mondo e migliorando la prevenzione, l’individuazione, la deterrenza e la soluzione efficaci dei problemi relativi alla protezione dei dati, garantendo coerenza e prevedibilità nella protezione delle informazioni personali in tutto il mondo.

Privacy e Dati Personali: misure e salvaguardie per ridurre i rischi

C’è bisogno di un profondo ripensamento volto all’impegno nell’introdurre misure e salvaguardie per ridurre i rischi per il trattamento dei dati personali: soprattutto per quanto riguarda le piattaforme utilizzate nei processi aziendali. Queste ultime andrebbero riprogettate, ripensate e riottimizzate alla luce dei paradigmi introdotti dal GDPR. Il problema maggiore si presenta nella valutazione dei rischi.

Ecco perchè in una riunione dell’European Data Protection Board sono state approvate le linee guida sulla Data Protection by Design & Default: linee guida sulla protezione dei dati personali fin dalla progettazione e per impostazione predefinita.

Tra i punti più importanti e su cui si è focalizzata l’attenzione ci sono appunto le piattaforme applicative o technology provider, le quali dovrebbero garantire una progettazione ed un funzionamento in linea con le indicazioni del GDPR.

Leggi di più su AgendaDigitale.eu

Privacy by design e by default: le differenze

L’Art. 25 del Regolamento europeo per la protezione dei dati personali introduce il principio di privacy by design e privacy by default. Il primo concetto, che risale al 2010 e coniato da Ann Cavoukian è basato sula privacy come impostazione di default: i problemi quindi vanno valutati nella fase di progettazione, in base al principio del prevenire e non correggere e l’utente viene messo al centro di tutto.

La privacy by default, ovvere la protezione per impostazione predefinita, riguada invece la non eccessività dei dati raccolti: il sistema del trattamento dei dati quindi dovrebbe essere in misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.