Category Archives: Uncategorized

The Inevitability of “Trusted Third Parties” for IT Security & Privacy

A way to understand our approach at Trustless Computing and TRUSTLESS.AI – often referred to by Vitalin Butterin investor of Ethereum – is that the cyber-libertarianism of E2EE and blockchain die-hard enthusiasts cannot technically ever succeed in eliminating “trusted third parties”.
We need therefore to build “digital social contracts”, i.e. doing our best to give a good governance to the inevitable “trusted third parties”, let alone they will turn into terribly crooked ones. Here is more in a post of mine of 2014.

Perchè e come il M5S dovrebbe muovere il potere sulla PIattaforma Rousseau dall’Associazione ad una associazione di iscritti M5S

Di recente, il Movimento 5 Stelle ha approvato un nuovo statuto che rende alla lunga i ruoli di sgretario e financo di garante eleggibili. Altresì inserisce nello statuto, e quindi immodificabile, un ruolo determinante della Piattaforma Rousseau ed anche un obbligo per gli eletti M5S ad utilizzarla come mezzo di comunicazione primario.

Essendo tale piattaforma gestita senza i benchè minimi principi di trasparenza e controllo da parte degli iscritti, chi la controlla, gestisce e sviluppa ha l’enorme potere di scegliere le funzionalità, regole di discussione, interfaccia, policy di discussione, livelli di sicurezza, e potenzialmente accesso diretto a lettura e potenzialmente modifica dei dati.

E’ comprensibile che ci sia un controllo centrale di gestione della piattaforma ma – in democrazia e ancor più in democrazia diretta – chi le controlla dovrebbe essere anch’esso eleggibile – poichè ha un potere comparabile o maggiore di quello del segretario e del garante – e in più sottostare a regole e limiti – di trasparenza e responsabilità – definiti dagli elettori M5S e dagli iscritti alla piattaforma o da comitati da esso eletti.

Ho ritrovato lo statuto della associazione Telematics Freedom Foundation (copia sito del 2014), fondata nel 2008 da me, Arturo di Corinto e Vera Simsic per promuovere i medesimi obiettivi della Associazione Rousseau, a corredo del progetto della Lista Partecipata.

Esso prevedeva – cosa legale in Italia per associazione non riconosciuta – che il potere sull’associazione passi agli utenti del servizio telematico di deliberazione non appena essi superino un certo numero, nel nostro caso erano 10.000 unità.

Di seguito un estratto dal capitolo “5. Categorie di Associati” dello statuto di TFF approvato di tale associazione nel suo atto costitutivo (pdf) recita:

Gli associati vengono classificati in distinte categorie:

  • Soci Fondatori: sono coloro che hanno partecipato alla costituzione dell’Associazione, di seguito elencati:
    • […]
  • Soci Onorari: coloro che pur non avendo contribuito alla iniziale fondazione dell’Associazione, per la loro personalità, esperienza e capacità vengono cooptati a maggioranza dai soci fondatori a contribuire alla promozione dell’Associazione e dei suoi scopi;
  • Soci Ordinari: coloro che da utenti attivi diventano soci come di seguito specificato;
  • Utenti: Ogni persona maggiorenne, di qualsiasi nazionalità, iscritta ai servizi telematici gestiti dall’Associazione. E’ utente attivo del mese corrente l’utente che avrà espresso una preferenza o fornito informazioni, da remoto ed attivamente, almeno due volte nel corso di tale mese. L’associazione si impegna alla fine di ogni mese a verificare il numero di utenti attivi e, qualora tale numero superi le diecimila unità, dovrà invitare ogni utente a divenire socio. Se l’utente accetterà l’invito, diventerà automaticamente socio ordinario. Da tale momento, ogni nuovo utente che si iscriva ai servizi di cui sopra, sarà automaticamente invitato a diventare socio con le modalità sopra specificate. 

Gli iscritti del Movimento 5 Stelle che hanno a cuore la democrazia interna dovrebbero richiedere tale modifica statutaria.

Ode ad un Roberto Baldoni 2.0

Il 23 dicembre scorso Roberto Baldoni è stato nominato vice-direttore del DIS e direttore del suo Nucleo di Sicurezza Cibernetica e, pare, importanti ulteriori deleghe.
 
Roberto Baldoni è una persona molto piacevole e simpatica. Da 5 anni lo conosco da vicino con 4 lunghi incontri relativi alle proposte di R&D e di nuovi standard della Trustless Computing Association, e le nostre serie di eventi Free and SAfe in Cyberspace su nuovi standards di cybersecurity per ambiti critici a Brussels, New York e Brasile.
 
E’ uno dei pochissimi esperti in Italia che sanno a fondo le dinamiche tecnologiche e geostrategiche, e a cui piace aggiornarsi. Purtroppo ad oggi praticamente ogni sua azione – e non azione – è stata sempre e solo esclusivamente indirizzata a qualche uscita di stampa a favore del DIS e dei potenti di turno.
 
Riassumiamo le sue iniziative osannate sui media da quasi tutti gli esperti e giornalisti leccapiedi o ignavi:
 
1) Il Framework Nazionale per la Cybersecurity, come i documenti del NIST a cui si ispira, forniscono linee guida parziali, non misurabili e quindi quasi completamente inutili.
 
2) Il Cyberchallenge è un’uscita di stampa, e al più un tentativo con 2 lire di avvicinare hacker di livello basso al DIS.
 
3) L’iniziativa Filiera Sicura è una presa in giro volontaria, perchè non ricomprende nemmeno lontanamente l’intera filiera critica, a differenza del nostra Trustless Computing CivicFab, da cui hanno molto malamente copiato l’idea.
 
Baldoni è stato pedissequamente al servizio DIS di Massolo – e i suoi governi di riferimento – che quasi niente hanno fatto nella nuova era della cybersecurity dopo le sconcertanti rivelazioni dello scandalo Snowden ed Hacking Team. A differenza di Francia, Germania e Brasile, l’Italia il DIS e Baldoni – come leader accademico del settore – non dissero o fecero quasi niente per ridare (o tentare di ridare) un minimo di sovranità alle nostre istituzioni, diritti civili digitali ai cittadini o restituire un capacità autonoma di cyber-investigation.
 
Purtroppo in Italia, con la politica che ci siamo ritrovati fino ad oggi, non ti fanno arrivare a posizioni di potere come quella se non hai ben dimostrato di essere un consolidato “yes man”. Ma poi, chissà, un volta “arrivato” magari puoi pure decidere di prendere qualche rischio seguendo di più la coscienza.
 
Baldoni ha assorbito attentamente le nostre idee e alla fine ci ha fatto da tappo, non facendoci mai incontrare nessuno o invitandoci a parlare ad eventi o a progetti. Insomma a difendere il proprio giardinetto come un’altra dozzina di (più o meno) esperti. Ogni nostro incontro con vari esponenti del vicedirettore del DIS e Difesa sono avvenuti autonomamente, per mezzo di interessamenti alle nostre attività ed eventi dei vertici della European Defense Agency e, più recentemente della Cyber Innovation Hub dell’Esercito Tedesco.
 
Insomma, date le capacità, le conoscenze, la simpatia, la verve personale, e la curiosità intellettuale, possiamo avere ragionevoli aspettative che Baldoni possa smettere di servire ciecamente i potenti, e di scalare, ed agire invece di coscienza per fare qualcosa di buono per il paese perché ne avrebbe sicuramente i mezzi e le conoscenze.
EDITED TO ADD Feb 7th 2018:
Oltre ad evidenziare le gravi mancanze e carenza della politica di cybersicurezza e sicurezza del governo e di Baldoni ad oggi, e dovuto che io riconosca come le strutture pubbliche del paese in tale ambito – come il DIS, Ministero degli Interni, Difesa, il CIS della Sapienza, il CINI e la Difesa – hanno ottenuto il grandissimo risultato di avere prevenuto fino ad oggi gravi atti di terrorismo, nonostante gli esigui mezzi, e di aver promosso un aumento della presa di coscienza dell’importanza della cybersicurezza con le iniziative del CIS e del CINI.
Per chiarezza, inoltre, ho sostenuto che il progetto Filiera Sicura sia una “presa in giro volontaria”. Non ho nessuno modo di sapere le intenzioni di chi ha promosso tale progetto. Posso solo dire che nel merito è un progetto che affronta in maniera inadeguata e parziale certi obiettivi nell’ambito di progetto europeo promosso da Cisco e Leonardo, interessati meramente a migliorare in maniera misurabile la sicurezza delle loro offerte.

Intelligenza Artificiale ed Intelligenza Collettiva

E se la soluzione per l’Intelligenza Artificiale fosse l’Intelligenza Collettiva?! Chissa che la chiave del successo – nel controllo umano, allineamento ai valori umanità, e redistribuzione dei benefici – dell’Intelligenza Artificiale futura è la governance delle organizzazioni umane criticalmente coinvolte formalmente (proprietà, ricerca, regulamentazione) e informalmente (hacking). Una Singularity AI positiva per la larga maggioranza degli umani, infatti, sarà niente altro che il prodotto collaterale (“by-product”) di efficaci forme di Intelligenza Collettiva transnazionale – ovvero di governance transnazionale altamente democratica e competente – in ambiti critici, a partire da: mainstream media control, cybersecurity, AI. Alla fine il problema del futuro di AI, e quindi della razza umana, non è un problema tecnologico, ma esclusivamente un problema di governance che vada a produrre e regolare tecnologie e standard di AI che realizzino le enormi opportunità della AI invece dei suoi peggiori incubi.

Comment on the new ENISA Report Threat Landscape

ENISA Threat Landscape 2016 report: cyber-threats becoming top priority
https://www.enisa.europa.eu/news/enisa-news/enisa-threat-landscape-2016-report-cyber-threats-becoming-top-priority/

If IT security boils down to that of the weakest “link”, then what is the sense arbitrarily limiting the scope of the annual EU ENISA Cyber Threat Reports by exclude some “links” such as the entire supply chain. Why is that?!

US Defense Science Board said already in 2005: “Trust cannot be added to integrated circuits after fabrication”.

In the Thematic Landscape Hardware document, vulnerabilities introduced during the fabrication and supply chain are out of scope. They say: “According to the scoping performed in Section 1.1, supply chain security aspects which are relevant for invasive/integrated modification of hardware was not in scope of the good practice research.”