Category Archives: work1

Telegram “Ban” in Russia

This #Telegram ban that is all over the news today is ultimately turning into free publicity for a Russian-made insecure-by-design messagging app – easily circumvented via gov hacking – which in turn increases Russian informational superiority.

Coincidence? West, wake up!

http://abcnews.go.com/Technology/wireStory/russia-admits-blocking-millions-ip-addresses-54552464

AI and the Ethics of its Masters

Self-driving cars are here
https://medium.com/@andrewng/self-driving-cars-are-here-aea1752b1ad0
With the hugely deceptive title Andrew NG, chief Scientist of Baidu, has chosen for this article, he has lost any credibility, by lowering down to a cheap lying salesman.
 
Let’s connect this show of ethics to the self-declared motives driving Musk and Bezos in their space travel plans, and recent statements by Larry Page, quoted in Max Tegmark latest book, on how it’ll be just right and fine for machines to take over.
 
It is becoming clear to me that we will never be able to succeed in AI ethics, safety or human alignment if those we let on the driving seats have radically different values, ethics and practical interests.
 
Our main concern should, therefore, be the ethics and “humans’ alignment” of the top AI owners and researchers.
How do we influence that? Simple. Through nations taking full responsibility nationally – and through strong and democratic treaties – of the Political Economics of IT and AI: antitrust, decentralized ownership of huge IT and AI giants, stringent security regulations, a huge Global AI Manhattan Project.
 
Or do we want the future of humanity be determined by the fulfillment of the childhood dreams and fears of a few very bright socially-challenged nerds or of Trump-like leaders?

Google assistant and regulations

https://www.bloomberg.com/news/articles/2018-05-10/google-grapples-with-horrifying-reaction-to-uncanny-ai-tech
[Google Assistant executive] Huffman suggested the machine could say something like, “I’m the Google assistant and I’m calling for a client.”
It is quite concerning that, while we are on the brink of a conversational AI explosion, there is not even a shred of meaningful regulation discussion, both of do’s and dont’s, and how to technically and socio-technically enforce its regulation.
 

Come leader M5S potrebbero fare critiche pubbliche costruttive su Rousseau

I più competenti ed onesti leader del M5S sono dilaniati  fra 2 esigenze.

Da un parte c’è la necessità di essere uniti e solidali – evitando critiche interne e negando anche l’evidenza – fino alla metà della conquista del potere. Ciò è a maggior ragione necessario nel contesto attuale di forte inferiorità rispetto ad avversari in termini di risorse economiche, mediatiche e di legami con poteri forti.

Da una parte c’è la necessità diammettere gravi errori e prospettare come rimediarvi, rispetto alla (A) grave carenza sicurezza, fruibilità e trasparenza della Piattaforma Rousseau – e assenza di voto di persona per chi vuole la privacy o non digitali –  e (B) ad alcune clausole fortemente autarchiche nel nuovo statuto del M5s che accentrano un forte potere in chi gestisce o hacker la Piattaforma o l’associazione Rousseau.

Ecco come Martin Buber riassunse questo dilemma: “Per la natura delle cose, non ci si puà aspettare che spuntino foglie da un piccolo albero che è stato trasformato in un bastone” (“One cannot in the nature of things expect a little tree that has been turned into a club to put forth leaves.”)

Gli ultimi gravi sviluppi relativi a Rousseau e lo statuto, rendono quest’ultima esigenza essenziale per non perdere gli attivisti e candidati migliori e grandi fette di elettorato che – basta leggere ovunque nei social – stanno consolidando dubbi sulle competenze di chi gestisce Rousseau e ha deciso lo statuto, che sono talmente enormi da portare un buon numero a dubitare della loro buona fede, e di conseguenza di chi lo avalla dicendo: “tutto bene”.

Ma per fortuna c’è sia modo di fare pubblica autocritica, mantenere l’anima del movimento, e al contempo migliorare le proprie possibilità di vittoria!

In un post del 16 agosto Grillo ripostò integralmente un mio commento che da una parte parlava della “gestione pessima ad oggi della cybersicurezza interna da parte del M5S” e dei rischi che essa portava al movimento ed al paese, e concludevo dicendo:

Come può l’M5S salvarsi da tale stillicidio e le sue conseguenze?

Segnare una svolta andando a promuovere un modificato programma di cybersecurity – sia per i sistemi interni che per i sistemi del paese – che siano davvero radicali e all’avanguardia mondiale, per restaurare la sovranità digitale dello stato, dei cittadini e degli iscritti al M5S.

Ad esempio il programma M5S per la Regione Lazio e per l’Italia in tema di cybersicurezza, dove il movimento potrebbe essere esteso a dire quanto segue.

SULLA PARTECIPAZIONE ONLINE E CYBERSICUREZZA

Rispetto alla grave carenza sicurezza, fruibilità e trasparenza della Piattaforma Rousseau potrebbe dire:

“La [Nazione o Regione] implementerà gradualmente estesi programmi di partecipazione onnline dei cittadini, complementari a processi di persona, con i massimi standard internazionali di sicurezza, privacy, trasparenza, fruibilità e facilità d’uso.

Si farà tesoro di quanto l’M5S e la comunità di esperti in Italia hanno potuto imparare dall’esperienza dalle recenti implementazioni in larga scala di tecnologie di partecipazione in Italia, unica per scala, importanza e per livelli di criticità.

In primis, si andranno ad allocare risorse adeguate per rispondere alla necessità congiunta di rispondere a minacce cibernetiche di attori statali determinati e la capacità di gestire alti flussi di utenti.

Si implementeranno processi indipendenti e trasparenti di verifica prima, dopo e durante, in eccesso dei massimi standard internazionali per procedure di voto.

Si promuoverà la partecipazione e  consenso da parte della comunità di attivisti ed esperti per la sicurezza informatica e i diritti civili digitali.”

 

Errore nello Statuto del M5S potrebbe permettere a chi controlla o hackera Rousseau di renderne impossibile la sua modifica

Nel nuovo statuto del M5S il ruolo centrale dell’Associazione Rousseau, di cui pochissimo si sà, è “incorporata”, e quindi non rimuovibile, e inoltre ogni eletto ha obbligo di usare la sua Piattaforma come primario mezzo di comunicazione e azione politica, (anche se si dice pure che altri strumenti telematici potranno essere autorizzati).

Inoltre lo statuto, praticamente, prevede che in caso di attacchi (interni e/o esterni) alla Piattaforma Rousseau di Denial-of-Service-Attack – ovvero che ne limitano radicalmente la fruizione – vengano impedite modifiche allo statuto. L’elevatissimo rischio di duraturi attacchi interni e/o esterni, acuiti da effettiva incompetenza e pochi fondi, sono fortmente acuiti da una eventuale voluta perdurante incompetenza interna che – con enormi lentezze, problemi tecnici, bassissima usabilità e pessima fruibilità – possono virtualmente impedire che voti più della metà degli iscritti e quindi si possa modificare lo statuto.

In nuovo Statuto M5S recita infatti:
“Le votazioni aventi ad oggetto le modifiche del presente Statuto sono valide, in prima istanza, solamente qualora vi abbia partecipato almeno la maggioranza assoluta degli iscritti, in seconda istanza qualunque sia il numero dei partecipanti, e in ogni caso sono assunte a maggioranza dei voti espressi. 
… 
Entro 5 giorni, decorrenti dal giorno della pubblicazione dei risultati sul sito dell’Associazione, il Garante può chiedere la ripetizione della votazione che, in tal caso, s’intenderà confermata qualora abbiano partecipato alla votazione almeno la metà più uno degli iscritti.”

Urge una modifica statutaria urgente, da chiedere a gran voce prima che i migliori abbandonino il progetto, per evitare questa deriva dittatoriale che porta il M5S as essere uno strumento in mano a Associazione Rousseau e/o chi la hackera da dentro o da fuori.

Ode ad un Roberto Baldoni 2.0

Il 23 dicembre scorso Roberto Baldoni è stato nominato vice-direttore del DIS e direttore del suo Nucleo di Sicurezza Cibernetica e, pare, importanti ulteriori deleghe.
 
Roberto Baldoni è una persona molto piacevole e simpatica. Da 5 anni lo conosco da vicino con 4 lunghi incontri relativi alle proposte di R&D e di nuovi standard della Trustless Computing Association, e le nostre serie di eventi Free and SAfe in Cyberspace su nuovi standards di cybersecurity per ambiti critici a Brussels, New York e Brasile.
 
E’ uno dei pochissimi esperti in Italia che sanno a fondo le dinamiche tecnologiche e geostrategiche, e a cui piace aggiornarsi. Purtroppo ad oggi praticamente ogni sua azione – e non azione – è stata sempre e solo esclusivamente indirizzata a qualche uscita di stampa a favore del DIS e dei potenti di turno.
 
Riassumiamo le sue iniziative osannate sui media da quasi tutti gli esperti e giornalisti leccapiedi o ignavi:
 
1) Il Framework Nazionale per la Cybersecurity, come i documenti del NIST a cui si ispira, forniscono linee guida parziali, non misurabili e quindi quasi completamente inutili.
 
2) Il Cyberchallenge è un’uscita di stampa, e al più un tentativo con 2 lire di avvicinare hacker di livello basso al DIS.
 
3) L’iniziativa Filiera Sicura è una presa in giro volontaria, perchè non ricomprende nemmeno lontanamente l’intera filiera critica, a differenza del nostra Trustless Computing CivicFab, da cui hanno molto malamente copiato l’idea.
 
Baldoni è stato pedissequamente al servizio DIS di Massolo – e i suoi governi di riferimento – che quasi niente hanno fatto nella nuova era della cybersecurity dopo le sconcertanti rivelazioni dello scandalo Snowden ed Hacking Team. A differenza di Francia, Germania e Brasile, l’Italia il DIS e Baldoni – come leader accademico del settore – non dissero o fecero quasi niente per ridare (o tentare di ridare) un minimo di sovranità alle nostre istituzioni, diritti civili digitali ai cittadini o restituire un capacità autonoma di cyber-investigation.
 
Purtroppo in Italia, con la politica che ci siamo ritrovati fino ad oggi, non ti fanno arrivare a posizioni di potere come quella se non hai ben dimostrato di essere un consolidato “yes man”. Ma poi, chissà, un volta “arrivato” magari puoi pure decidere di prendere qualche rischio seguendo di più la coscienza.
 
Baldoni ha assorbito attentamente le nostre idee e alla fine ci ha fatto da tappo, non facendoci mai incontrare nessuno o invitandoci a parlare ad eventi o a progetti. Insomma a difendere il proprio giardinetto come un’altra dozzina di (più o meno) esperti. Ogni nostro incontro con vari esponenti del vicedirettore del DIS e Difesa sono avvenuti autonomamente, per mezzo di interessamenti alle nostre attività ed eventi dei vertici della European Defense Agency e, più recentemente della Cyber Innovation Hub dell’Esercito Tedesco.
 
Insomma, date le capacità, le conoscenze, la simpatia, la verve personale, e la curiosità intellettuale, possiamo avere ragionevoli aspettative che Baldoni possa smettere di servire ciecamente i potenti, e di scalare, ed agire invece di coscienza per fare qualcosa di buono per il paese perché ne avrebbe sicuramente i mezzi e le conoscenze.
EDITED TO ADD Feb 7th 2018:
Oltre ad evidenziare le gravi mancanze e carenza della politica di cybersicurezza e sicurezza del governo e di Baldoni ad oggi, e dovuto che io riconosca come le strutture pubbliche del paese in tale ambito – come il DIS, Ministero degli Interni, Difesa, il CIS della Sapienza, il CINI e la Difesa – hanno ottenuto il grandissimo risultato di avere prevenuto fino ad oggi gravi atti di terrorismo, nonostante gli esigui mezzi, e di aver promosso un aumento della presa di coscienza dell’importanza della cybersicurezza con le iniziative del CIS e del CINI.
Per chiarezza, inoltre, ho sostenuto che il progetto Filiera Sicura sia una “presa in giro volontaria”. Non ho nessuno modo di sapere le intenzioni di chi ha promosso tale progetto. Posso solo dire che nel merito è un progetto che affronta in maniera inadeguata e parziale certi obiettivi nell’ambito di progetto europeo promosso da Cisco e Leonardo, interessati meramente a migliorare in maniera misurabile la sicurezza delle loro offerte.

Perchè l’M5S dovrebbe perseguire un ICO da $25+ milioni per finanziare una nuova piattaforma di partecipazione

Le donazioni che l’Associazione Rousseau è riuscita ad attrarre per la sua piattaforma fino ad oggi (€480.415) , ormai dopo molti mesi, sono radicalmente insufficienti per il tipo di investimenti e le competenze necessarie per la realizzazione di una infrastruttura informatica che possa raggiungere pienamente i suoi obiettivi di democratizzazione del sisema politico, e mitigare fortemente i forti rischi alla sovranità del paese, degli iscritti e del movimento, che derivano dai livelli di sicurezza della versione attuale relativamente molto bassi in relazione al modo in cui la si viene usata (voto non palese) e per la portata delle decisione che vi si delegano (scelta candidato premier, presidente, etc).

Verrebbe da pensare che gli italiani e gli iscritti siano semplicemente tirchi o indifferenti. Ma questa conclusione si scontra con il fatto che 4 milioni di italiani si misero in fila per ore nel 2005 per donare la media di 11,5 euro a votante per finanziare i costi della nuova forma di partecipazione per le primarie dell’Ulivo, per un totale di 40 milioni di euro. Le difficoltà di finanziamento dell’Associazione Rousseau è dovuta invece alla grave mancanza di trasparenza, sicurezza, governance democratica, il suo utilizza per voto palese; e la totoale mancanza di progetto tecnologico credibile che si metterebbe in atto se si dovesse attrarre milioni di euro di donazioni.

Riteniamo quindi che donazioni di cittadini italiani ed in particolare esteri arriverebbero a decine di milioni di euro se vi fosse un progetto internazionale e credibile che credibilmente va a risolvere tali criticità, ed inoltre specificasse che l’utilizzo sarebbe limitato a permettere voto palese, mentre il voto non-palese sarebbe possibile solo per mezzo di deliberazioni di persona presso diffusi gazebi ed assemblee mensili. Ciò potrebbe ridurre radicalmente i rischi di sicurezza della piattaforma online.

Vi sono inoltre, nuove forme di finanziamento per progetti/comunità tecnologiche che sarebbero ideali per un tale progetto. Il movimento politico australiano MiVote che ha da poco lanciato una non-profit ed una startup chiamata Horizon State che ha lanciato un Initial Coin Offering (“ICO”) per finanziare la radicale investimento (benchè con piani tecnicamente molto scarsi) nella riscrittura della loro attuale piattaforma di partecipazione online, attiva da febbraio con migliaia di utenti in Australia. Altre iniziative di ICO per voto elettronico remoto includono Boule ICO. L’Associazione Rousseau e/o M5S potrebbero seguire un strategia  simile, ma un progetto di sicurezza e di resilienza della governance molto più elevati, per acquisire in tempi 1-2 mesi e in maniera decentralizzata e democratica risorse per decine di milioni di euro per fare un enorme salto di qualità nella infrastruttura di partecipazione.

Ma una tale iniziativa, avrebbe poca attrattiva sull’attuale mercato dell’ICO, che è tipicamente trainato dagli investimenti e la comunicazione di piccoli e medi investitori in criptovalute della prima ora, che ricercano il mantra della decentralizzazione e dell’opensource della blockchain. Associazione Rousseau e Movimento 5 Stelle – da soli e con le criticità sopramenzionate – apparirebbero molto negativamente a tali soggetti per la poca competenza tecnica dimostrata, il software proprietario e la centralizzazione del controllo e dell’auditing.

Come Trustless Computing Association – e la sua startup spin-off TRUSTLESS.AI – proponiamo  all’Associazione Rousseau e al M5S di partecipare alla realizzazione e fundraising delle piattaforme CivicNet e CivicChain – e relativi apparecchi client CivicPod e CivicKiosk. In costruzione da 4 anni, con partner e advisors di classe globale, essa và a realizzare una infrastruttura totalmente governata dagli utenti della stessa e da cittadini italiani selezionati a campione. In line con i Paradigmi del Trustless Computing – inseriti come requisito obbligatorio per servizi critici in proposta di legge regionale lazioale del M5S nel 2015 – ogni componente critica softare  hardware sarà pubblicamente verificabile nel design sorgente, ed estremamente verificata in relazione alla complessità, in ogni componente critica fino anche al livello di CPU e della fase di fabbricazione, unicità sul panorama mondiale. Sarà completamente open source da sistema operativo in su. L’M5S sarebbe utente finale esclusivo fra partiti EU per i primi 12 mesi e partner tecnologico (UX, requisiti), in cambio di una attiva partecipazione alla parte italiana della campagna di investimento per una Initial Coin Offering da $25M

Alla soluzione e piano per l’ICO ampiamente descritti nei documenti linkati al Summary Overview disponibile di TRUSTLESS.AI, sarebbe aggiunta la capacità del previsto client device CivicPod di poter essere integrato all’interno di CivicKiosks (ch 2.2.4.2. della proposta R&D  (pdf), Aprile 2016).per votazione in luoghi presenziati presso uffici pubblici, gazebo o farmacie.

La governance della piattaforma e della stessa Trustless Computing Association (“associazione non riconosciuta”) sarà, dal momento della sua prima utilizzazione continuativa di più di 10.000 utenti, completamente controllata dagli iscritti al Movimento 5 Stelle (33%) e da un campione (1000) cittadini italiani ed internazionali (33%) e investitori dell’ICO autenticati nella piattaforma (1 €, 1 voto). Esercizio di tale governance potrà avvenire (a) per mezzo della piattaforma stessa – ma solo con CivicPod privato o condiviso, o per mezzo di CivicKiosk, ed in maniera palese – oppure (b) di persona, ad eventi per lo meno mensili e con la possibilità di votare e partecipare a in maniera confidenziale.

Lanciando un progetto del genere, assieme ad un rinnovato programma per la cybersicurezza, potrebbe sospendere l’utilizzo di Rousseau senza perdere la faccia, e quindi finalmente “segnare una svolta andando a promuovere un modificato programma di cybersecurity – sia per i sistemi interni che per i sistemi del paese – che siano davvero radicali e all’avanguardia mondiale, per restaurare la sovranità digitale dello stato, dei cittadini e degli iscritti al M5S”, come scrisse nostro Exec. Dir. Rufo Guerreschi in un commento ripostato da Grillo il 16 agosto scorso, cui fecero seguito discussioni e proposte.

Questa proposta nasce da varie intelocuzioni negli ultimi anni con l’M5S, sintetizzati in questo articolo: https://www.trustlesscomputing.org/2017/09/04/interessamenti-di-primarie-forze-politiche-e-media-italiani-alla-trustless-computing/

 

Thank Silicon Valley dogmas for ICOs.

Because of the dogma-prone attitude of the Valley, and US in general – with its “lean startup”, the picture-perfect 4 minutes “stand up pitch”, the “Valley-style slide deck nothing else” – tons of great talents and startups have been shunned from funding for a decade or more.

Valley big shot VCs can take the merit for the explosion of the ICO model, whereby brilliant researcher, ideas, executioners and teams can get funded without spending 4-7 months fitting into the dogmas and moving the team to live within 30 minutes from a VC (mostly impractical for costs and Visa)

That said, It think lean startup method is a very good concept, its “customer development process” (i.e. user-driven innovation) is fantastic; while 95%+ of Valley people I’ve met still can’t distinguish an MVP (Minimum Viable Product) from a proof-of-concept, mockup prototype, prototype, beta product or initial product.

AI, HUMANS AND BLACK BOXES

Collective human institutions and wisely educated humans have been proven historically to find ways to sufficiently keep on check their “black box” sides, their “drunken, stung, monkey mind”: Institutions have constitutions, when well done; while single humans has conscience, when well honed in reflection and meditation.

The same black box problem arises in the main “runtime environment” of ever more powerful AIs. We should try to replicate proven “architectures of individual and collective human wisdom”. Such architecture have allowed, in the many good case scenarios, to tackle and even enjoy runaway impredictability, while properly minimizing the suffering.

CYBERSICUREZZA, M5S, AUTONOMIA DELLA LOMBARDIA E PROSSIME ELEZIONI ITALIANE

Se l’M5S non risolve con estrema urgenza la “pessima gestione della cybersicurezza” interna del M5S – come concordò Beppe Grillo nel post dello scorso 16 agosto – il Movimento sarà impossibilitato ad opporsi alla scellerata implementazione del voto elettronico in Lombardia per un “referendum” per l’autonomia del prossimo 22 ottobre, e ne fare la sua parte per proteggere le prossime elezioni nazionali italiane da cyberattacchi esteri e non.
 
Avendo svolto le proprie primarie per candidato premier solo online, con scrutinio in teoria secreto, con sistemi gravemente inadeguati e dimostratamente compromettibili, ed avendo convinto solo 80.000 dei propri iscritti a partecipare, l’M5S non potra infatti dire la loro per evitare che Maroni porti ad un voto per l’autonomia della Lombardia che sarà enormemente compromettibile, ed quindi fortemente contestato.
 
Riporta Repubblica di inizio settembre che si è dato in appalto ad una ditta USA famosissima per macchino di voto ridicolmente vulnerabili: 
“Dopo la sottoscrizione del contratto da 23 milioni di euro per l’acquisto di 24mila tablet, parte la ricerca di 7mila assistenti per il voto: la Regione Lombardia si pepara anche così al referendum per l’autonomia del prossimo 22 ottobre. Ad assumere i 7mila “digital assistant” sarà la Diebold Nixdorf, “una società internazionale leader mondiale in digital and tech solutions”, che avrebbe l’incarico in subappalto. Per farlo si è affidata alla società Manpower, che ha iniziato il recruiting prima di Ferragosto”
Basta andare su Google News “Diebolg voting hack”e trovare piena scelta di fonti primarie sull’enormi vulnerabilità di tali tencologie.  Diventa quindi sempre più urgente che il M5S avanzi con quanto proposi il 16 agosto sul commento che Grillo scelze di riportare integralemnte sul proprio blog, e quindi in qualche modo ha fatto suo:
“Segnare una svolta andando a promuovere un modificato programma di cybersecurity – sia per i sistemi interni che per i sistemi del paese – che siano davvero radicali e all’avanguardia mondiale, per restaurare la sovranità digitale dello stato, dei cittadini e degli iscritti al M5S.”
Eppure la via sarebbe semplice, puntare tutto su una Smart Nation 2.0 in cui la cybersicurezza diventa un fulcro per la protezione dei diritti civili e per lo sviluppo economico. Ma ciò presuppone una radicale, esplicita e condivisa critica alla gestione interna delle procedure di partecipazione online ed offline (assenti!) fino ad oggi. Il tempo stringe. 

M5S e cybersicurezza: non si vede ancora alcuna svolta

Alla recente kermesse a Trieste ““DAL V-DAY A ROUSSEAU – DIECI ANNI DI PARTECIPAZIONE” si è scelto di identificare il Movimento con Rousseau, mettendolo prominentemente nel titolo ed anche come ad ogni singolo speaker.

Identificare il Movimento con la specifica piattaforma Rousseau – invece che con “la “partecipazione” dei cittadini, anche online” – è un enorme errore, come feci notare nel mio commento del 16 agosto ripubblicato sul Blog di Grillo, e in successivi post nel blog della Trustless Computing Association (era Open Media Cluster).

Tale scelta lega ancor di più l’essenza e il senso stesso del movimento alla successo dell’attuale versione di una piattaforma informatica – enormemente inadeguata alla criticità del suo utilizzo – nel prevenire gravi hacks temporizzati da parte di attori statali e/o molto determinati, cosa difficilissima

Dal mio commento del 16 agosto, ripubblicato dal Blog di Grillo, nonostante io abbia indicato soluzioni di breve termine, richiesto confronti ai principali interlocutori, tutti, a parte Barillari, hanno scelto di andare dritti e uniti, e rimandare a dopo la risoluzione di questo problema, e perfino la sua ammissione.

Li capisco, in qualche misura, ma è comunque un gravissimo errore a cui spero ancora vogliano porre rimedio. A tal fine, ed in linea con quanti suggerito il 16 agosto, potete trovare sul nostro blog una prima bozza di proposta partecipata di Programma di Cybersicurezza per l’Italia 2018-2023, che riteniamo doterebbe il paese e le sue forze politiche di tecnologie idonee all’eservizio della loro funzione democratica, oltre a notevoli vantaggi di sviluppo economico.

Dove sono gli esperti di sicurezza italiana che dovrebbe farsi sentire? Perchè anche quelli vicini da sempre al PD non dicono una parola e non fanno una proposta?! Forse perchè è bene tenerseli buoni che poi magari saranno al governo? Mah, si potrebbe dire che è proprio facendo così fino ad oggi che molti di essi sia assorta al riconoscimento di esperti agli occhi di media e politici …

PERCHÉ ANCHE IN ITALIA IL TEMA DELLA CYBERSECURITY DETERMINERÀ LE PROSSIME ELEZIONI

(Questo post era originalmente un mero commento a un post del Blog di Grillo del 15 agosto 2017 a firma Associazione Rousseau. Lo scrissi sul cellulare di ritorno in auto da ritiro buddista in Toscana. Beppe Grillo lo ha ri-postatato il 16 agosto 2017 come post “ospite”, con mia somma e gradita sorpresa, ancorchè senza correggere i refusi. Segue di seguito una versione corretta di tali refusi).

Come riporta bene Raffaele Barberio, il 13 e 14 agosto, articoli in prima pagina della Repubblica descrivono, con orribile qualità ed analisi, presunti scoop su falle critiche di cybersicurezza dello stato. Essi seguono a distanza di giorni due leaks di dati acquisiti per mezzo di falle di sistemi interni M5S, misti a critiche sulla non trasparenza di tali sistemi.

Ancorché sia i sistemi critici dello stato e sia del M5S siano terribilmente inadeguati, le tempistiche e modalità di tali leaks, hacks e articoli portano a pensare che essi possano essere utilizzati per spostare decisamente l’esito delle prossime elezioni, come successo in USA e quasi in Francia.

Se immaginiamo una semplice applicazione in Italia delle dinamiche delle recenti elezioni in USA e Francia, vediamo come il sistema Rousseau può esser visto come l’equivalente nell’M5S dell’improvvido mail server della Clinton – e dei sistemi di comunicazione interna del Partito Democratico USA – che costarono elezioni alla Clinton.

Vediamo se ci sono gli elementi.

-In Usa e Russia, vi sono spesso stati capi di stato che erano ex capi dei servizi segreti (Putin, Bush senior) e in Italia ancora no.

-Minniti, per decenni a capo dei servzi e quindi della cybersicurezza, è lanciato dal governo e PD come leader dell’agenda del giorno immigrazione, e quindi come leader.

– A giugno ci fu un attacco frontale, menzognero e premeditato di Renzi in prima serata contro Angelo Tofalo, principale esponente M5S di cybersicurezza.

-La gestione pessima ad oggi della cybersicurezza interna da parte del M5S, li espone fortemente a critiche, leaks e hacks ben temporizzate, da parte di molteplici attori, per manipolare l’agenda mediatica.

Proviamo ad immaginare una possibile strategia di forze politiche e mediatiche avverse al M5S. Eccola.

Attaccando PD e Minniti con sparate di grandi hackeraggi basate sul quasi niente, la Repubblica ottiene di: (1) consolidare il tema cybersecurity come centrale per elezioni (ancorché in maniera completamente sballata), (2) legittimarsi come testata indipendente sul tema agli occhi di chi non sa del settore, senza criticare minimamente le gravi effettive falle di sicurezza dello stato PD e (3) si apre quindi il campo ad attacchi molto più mirati per rilanciare in controcanto ogni leak in un probabile futuro stillicidio sulla sicurezza sistemi M5S.

In più possono contare di essere coadiuvati, ancorché indipendemente e con fini diversi, da hacker di ogni tipo: stati esteri, hacker indipendenti simpatizzanti PD, e hacker etici simpatizzanti dei fini del M5S ma non interamente dei mezzi (come WikiLeaks e Anonymous) e fortemente critici di alcune sue pratiche digitali e organizzative autocratiche.

Come può l’M5S salvarsi da tale stillicidio e le sue conseguenze?

Segnare una svolta andando a promuovere un modificato programma di cybersecurity – sia per i sistemi interni che per i sistemi del paese – che siano davvero radicali e all’avanguardia mondiale, per restaurare la sovranità digitale dello stato, dei cittadini e degli iscritti al M5S.

Comment on the new ENISA Report Threat Landscape

ENISA Threat Landscape 2016 report: cyber-threats becoming top priority
https://www.enisa.europa.eu/news/enisa-news/enisa-threat-landscape-2016-report-cyber-threats-becoming-top-priority/

If IT security boils down to that of the weakest “link”, then what is the sense arbitrarily limiting the scope of the annual EU ENISA Cyber Threat Reports by exclude some “links” such as the entire supply chain. Why is that?!

US Defense Science Board said already in 2005: “Trust cannot be added to integrated circuits after fabrication”.

In the Thematic Landscape Hardware document, vulnerabilities introduced during the fabrication and supply chain are out of scope. They say: “According to the scoping performed in Section 1.1, supply chain security aspects which are relevant for invasive/integrated modification of hardware was not in scope of the good practice research.”

Even Google starts admitting AI great risks and hinting at the right direction

The CEO of Google DeepMind is worried that tech giants won’t work together at the time of the intelligence explosion
http://www.businessinsider.com/google-deepmind-demis-hassabis-worries-ai-superintelligence-coordination-2017-2?IR=T

Absolute must read for those that think AI Superintelligence explosion may be just science fiction or decades away. Even the largest groups that have huge economic interests in downplaying the risks of AI, are now clearly spelling out the risks and the hinting in the right direction. Conforting.

Sono lo SPID e il software libero sufficienti per una partecipazione deliberativa elettronica comunale in larga scala?!

Con la conquista di 2 grandi città, il Movimento Cinquestelle ha finalmente l’occasione e le risorse per realizzare la promessa democrazia diretta, online e non, in larga scala. Il programma prevede un forte consolidamente e estenzione degli istituti di partecipazione e la progressiva estenzione a tutti i cittadini di strumenti online di partecipazione in larga scala e deliberativa – invece che meramente consultiva – al processo deliberativo dell’amministrazione comunale.

La presidente degli Stati Generali dell’Innovazione, Flavia Marzano – da 15 anni una dei leader italian delle battaglie per il software libero, formati aperti e dati aperti nella pubblica amministrazione – è stata invitata ad essere il nuovo Assessore alla “Roma Semplice” da parte della nuovo amministrazione capitolina M5S. Avrà l’onere, onore e sfida di sviluppare tecnologie e processi ICT che – non solo supportino una radicale trasparenza per combattere la malapolitica – ma vadano realizzare l’agognata democrazia diretta digitale.

La maggioranza degli esperti e giornalisti del settore pensano che l’utilizzo di software e open source della parte server, e l’applicazione del livello 3 dello SPID (Sistema Pubblico di Identità Digitale – ovvero i sistemi di sicurezza comunemente usati per i servizi bancari – possano essere sufficienti per minimizzare sufficientemente i rischi.

As esempio, il vicepresidente di Stati Generali dell’Innovazione, Nello Iacono, ha fatto delle proposte in un post del 23 giugno:

“Alcune riflessioni sulla spinta possibili per Spid: una sua diffusione rapida consentirebbe di renderlo fattore abilitante della cittadinanza digitale e della partecipazione dei cittadini, consentendo di ridurre drasticamente costi e tempi”

Similarmente, il progetto Parelon, sviluppato da volontari del M5S Regione Lazio con risorse solo volontarie e limitate, ha centrato la sua sicurezza su l’utilizzo e sviluppo in sofwtare libero (e.g. open source) e sistemi di autenticazione con chiavetta bancaria (one time password generator). Cionostante, essi ammettono come il loro sistema debba rinunciare alla confidenzialità del voto per offrirne sufficienti livelli di sicurezza. Cosa che può essere accettabile, epr scelta, per un partito, ma è costituzionalmente vietato per il voto politico e amministrativo.

Molti fanno riferimento al voto elettronico online della Estonia (patria dell’attuale Commissioner IT della EU) oppure in qualche zona della Svizzera a livello semisperimentale.

Gli obiettivi e l’idea di base sono di tali proposte sono encomiabili: far si che il desiderio di alcune nuove amministrazioni di espandere in larga scala le possibilità di partecipazione civica online dei cittadini, deliberativa e non solo consultiva -utilizzando i nuovi standard per transazioni e comunicazioni informatiche private e sicure, lo SPID, Sistema Pubblica di Identità Digitale – possa essere sfruttata inoltre per: (a) rendere più semplice ed economica l’interazione del cittadino con l’amministrazione; (b) diffondere fra i cittadini tale SPID, in modo da possa rendere più efficienti le transazioni economiche ed realizzare risparmi potenzialmente enormi di denaro pubblico derivanti dalla dematerializzazione di servizi della pubblica amministrazione.

Tale obiettivi, d’altronde, si scontrano con il fatto che vi è un largo consenso fra i massimi esperti di sicurezza informatica al mondo che anche il terzo e massimo livello dello SPID – come anche ogni altro standard di sicurezza esistente, finanche quello per l’ICT abilitato a trattare segreto di stato – forniscono livelli di sicurezza o privacy che sono ad oggi molto lontani dal fornire garanzie sufficienti contro abuso di larga scala di sistemi di voto online o partecipazione deliberativa online dei cittadini, come ad esempio quello di propossa e sottoscrizione di una proposta di legge ad iniziativa popolare. L’associazione Verified Voting, che aggregò gli esperti sopramenzionati, spiega bene perchè le tecnologie e metodi di sicurezza che usiamo per le transazioni bancarie, controintuitivamente, sono radicalmente inidonee per proteggere il voto dei cittadini.

Ogni report di organi riconosciui delle elezioni in Estonia, ha rivelato un’enorme quantità di vulnerabilità, che porta a concludere che attori con capacità anche moderate possano aver alterato i voto esperssi via internet in tali elezioni, e possano ben farlo in futuro dato che l’Estonia ha preferito investire in pubbliche relazioni che non invece, prendere atto pubblicamente dell’entità della sfida, ed investire adeguatamente nella ricerca di soluzioni adeguate.

I cittadini, sono per lo più tenuti all’oscuro di tali rischi del “voto online” ed anche della grande probilità di abusi già avvenuti e non scoperti, con ricorrenti richiami a migliorare la democrazia attraverso un semplice “voto dal tablet” di vari politici, incluso il M5S, eccetto per qualche sporadico articolo che sottolinea le grandi sfide che prima bisogna affrontare. Anche dopo un battage pubblicitario gigantesco e planetario, nella Estonia E-residency, centrato sulla sicurezza e confidenzialità offerta, hanno creduto in sole 10.000 persone.

A differenza di altri in SGI, Flavia Marzano ha mostrato di essere ben cosciente delle sfide tecniche, organizzative e procedurali che comporta l’offrire in larga scala le possibilità di partecipazione civica online dei cittadini, deliberativa e non solo consultiva. Fu la Marzano, nella primavera del 2014, in qualità di Presidente degli Stati Generali dell’Innovazione (SGI) – la primaria NGO del settore IT solidamente in area PD – che accettò di partecipare all’iniziativa della Open Media Cluster di convocare 2 incontri in Regione Lazio con i capogruppo di PD, M5S e SEL, o loro diretti delegati, per una campagna di legge per il “software libero, hardware documentato, partecipazione e servizi telematici trasparenti”.

Tale proposta di legge, ad oggi nemmeno discussa dal consiglio a maggioranza PD, prevede che ogni servizio critico al cittadino, come e-health o partecipazione online, debba obbligatoriamente essere offerto in rispetto di “servizi telematici trasparenti“, derivato dal concetto di telematica trasparente (evoluto ne concetto di trustless computing della Trustless Computing Initiative) – che prevedono requisiti di verificabilità e livelli di verifica estremi in relazione ala complessità per ogni tecnologia o processo critico coinvolto – dal lato server e dal lato utente – nella fruizione o nel ciclo vita della soluzione, dalla definizione degli standard, an design del CPU, al monitoraggio della fase di fabbricazione. Dopo settimane di enorme pazienza e solleciti da parte di Davide Barillari, portavoce del M5S regione Lazio, il PD e SEL continuavano a comunicarci come fossero in attesa di coinvolgimento di loro esperti per valutare le nostre proposte.

Negli stessi giorni, come risultava evidente che il PD non avesse ne la volontà politica e ne la capacità tecnica di proporre una seria legge sul tema, la direzione generale degli Stati Generali dell’Innovazione bocciò ogni coinvolgimento della SGI stessa nella campagna, nonostante il suo successo e il fatto che Richard Stallman stesso, investore del software libero, fosse venuto a Roma per promuoverla, e ripetuti solleciti da parte della loro presidente. Come sempre in Italia, è difficile concludere quanto dichiarazioni gravemente erronee circa temi assolutamente vitali per la democrazia e la società, da parte di soggetti coinvolti nell’ICT per la PA, siano dovuti a sottomissione politica o a grave impreparazione tecnica.

Molto del silenzio che si è sentito (il silenzio fà un rumore tremendo) su questi temi da parte del M5S, con pochissime eccezioni di Davide Barillari e pochi altri, rischia di trasformare un’enorme opportunità di rilancio del paese in un incubo di votazioni manipolate e, nella misura in cui se en potrà comprovare la comprommissione, una conseguente forte delegittimazione del M5S nella sua capacità di realizzare responsabilmente il suo primario obiettivo di sempre.

Come disse bene George Orwell: “In un tempo di universale inganno, dire la verità è un atto rivoluzionario“. Sono ben cosciente dell’enorme costo di dire la verità, per quasi tutti in questo paese, ma è venuto il momento di dire la verità sull’entità della sfida tecnologica, socio-tecnica ed organizzativa della democrazia diretta online.

Comune di Roma leader mondiale nella democrazia elettronica digitale?!

UPDATE May 20th 2016: una versione estesa ed aggiornata di questo post la trovi qui.

Con le elezioni comunali di Roma del 2016 è per la prima volta possibile che il Movimento Cinque Stelle possa controllare ed amministrare un grande comune d’Italia, il più grande. Sarà un’enorme occasione e responsabilità per dimostrare di poter mettere in pratica i principi di partecipazione, trasparenza e lotta contro corruzione e privilegi tanto affermati fino ad oggi dall’opposizione.

Sarà altresì occasione di implementare con risorse adeguate e sul larga scala, i principi della democrazia diretta e partecipativa fortemente affermati dal movimento, attraverso innovative politiche, tecnologie e processi.

Sarà interessante vedere quali sistemi il Comune di Roma deciderà di adottare, ovviamente attraverso bandi di gara, e in che misura soluzioni attualmente disponibili sul mercato possano fornire livelli di inclusività, di sicurezza e privacy che richiede la Costituzione Italiana, la Carta Europea dei Diritti dell’uomo, e probabilmente i cittadini di Roma, e una buona parte del 97% dei votanti romani del Movimento che hanno scelto di non utilizzare gli strumenti di partecipazione online gratuiti predisposti dal Movimento.

L’amministrazione entrante potrebbe prendere atto della mancanza di tali strumenti e quindi attivare da una parte bandi di gara a breve termine per una fornitura di strumenti per un utilizzo in bassa-scala e/o sperimentale, ed al contempo bandi di gara a lungo termine – in linea e coordinamento con programmi EU pre-commercial procurement, che includano un sostanziale livello di ricerca applicata e sostanziale innovazione di sistemi esistenti per soddisfare i requisiti di cui sopra.

Welcome to Linear City 2.0, a social and human urban redevelopment concept

For my master thesis in Public Policy and Regional Planning at Rutgers University in 2000, I defined in fine detail an ethical vision I had in 1998 that convinced me to pursue that Master in that school: the technical, political and conceptual business plan for a LINEAR CITY (1.0), i.e. a large-scale intermodal urban corridor RE-development, heavily centered on public transport and light electric vehicles, to make cities social, human and ecologically sound. I even had full 3D animations done by myself with amazing detail:
www.linearcity.org

WELCOME TO LINEAR CITY 2.0

Fifteen years later – given all the advances in self-driving vehicles, and the fact that Linearcity that it will still take many years before they are authorized on the streets, and decades before they reach majority of cars – my Linearity concept could be amended by substituting all feeder systems to the main subway/train – which are in version 1.0 a mix of mixed-grade bus and automated guided buses (i.e. with driver!) – with pure self-driving small buses, but on a mix of separate-grade and mixed-grade. In some case, separate-grade may just be a preferential line well-marked on the asphalt, and sidewalk pedestrian warning, without physical separation.

Some comments on the Preamble of the Italian Internet “Bill of Rights”

Last July 2015, the Italian parliament approved, through a motion, an Italian Internet “Bill of Rights”. We greatly admire and support the motives of the drafters, many of which are friends, but we believe it necessary to highlight some serious shortcomings to its approach, starting with its Preamble.

PREAMBLE

It has fostered the development of a more open and free society.

This is very arguable. A large majority of digital rights activists and IT security and privacy experts would disagree that, overall, it has.

The European Union is currently the world region with the greatest constitutional protection of personal data, which is explicitly enshrined in Article 8 of the EU Charter of Fundamental Rights.

This is correct, although Switzerland may be better in some regards.Nevertheless, even such standards to date have not at all been able to stop widespread illegal and/or inconstitutional EU states bulk surveillance, until Snowden and Max Schrems came along. Furthermore, even if the US and EU states fully adhered to EU standards, it would significantly improve assurance for passive bulk surveillance, but it would do almost nothing for highly scalable targeted endpoint surveillance (NSA FoxAcid, Turbine, hacking Team, etc), against of tens and hundreds of thousands of high-value targets, such as activists, parliamentarians, reporters, etc.

Preserving these rights is crucial to ensuring the democratic functioning of institutions and avoiding the predominance of public and private powers that may lead to a society of surveillance, control and social selection.

“May” lead?! There is a ton of evidence available for the last 2 years that to a large extent we have been living for many years in a “society of surveillance, control and social selection.”

Internet … it is a vital tool for promoting individual and collective participation in democratic processes as well as substantive equality

Since it has emerged to be overwhelmingly a tool of undemocratic social control, it would be more correct to refer to its potential to “promoting individual and collective participation in democratic processes”, rather than a current actual fact.

The principles underpinning this Declaration also take account of the function of the Internet as an economic space that enables innovation, fair competition and growth in a democratic context.

By framing this at the end of the preamble, it makes it appear that privacy and civil rights needs are obstacles to innovation, fair competition and growth, which is not the case, as the Global Privacy as Innovation Network has been clearly arguing for over 2 years.

A Declaration of Internet Rights is crucial to laying the constitutional foundation for supranational principles and rights.

First, there have been about 80 Internet Bill of Rights approved by various stakeholders, including national legislative bodies. Second, a “declaration of rights” can very well be just smoke in the eyes, if those rights are not defined clearly enough and meaningful democratic enforcement is also enacted. There are really no steps towards proper “Supranational principles and rights”, and related enforcement mechanism, except a number of nations bindingly agreeing to them, similarly to the process that lead to creation of the International Criminal Court.

Richard Hawking on the great risks of the “default” scenarios for the future of AI

Richard Hawking, the great physicist, sees in the future of humanity like no one else. He sees our greatest risks related to the future of self-improving AI machines:

(1) Human exinction, if AI machines can be controlled at all. He said “Whereas the short-term impact of AI depends on who controls it, the long-term impact depends on whether it can be controlled at all”.

(2) Huge wealth [and power]  gaps, if AI machine owners will allow a fair distribution once these will take on all human labor. He said “If machines produce everything we need, the outcome will depend on how things are distributed.” Hawking continued, “Everyone can enjoy a life of luxurious leisure if the machine-produced wealth is shared, or most people can end up miserably poor if the machine-owners successfully lobby against wealth redistribution. So far, the trend seems to be toward the second option, with technology driving ever-increasing inequality.”

Is meaningful trustworthiness a requirement of Free Software “computing freedom”?

In this youtube video excerpt (minute 8.33-15.55) from Panel 2 of the Free and Safe in Cyberspace conference, that I organized 2 weeks ago, in which Richard Stallman and myself debate about IT trustworthiness and free software. The entire panel video is also available in WebM format here.

In such excerpt, Richard Stallman said that computing trustworthiness is a “practical advantage or convenience” and not a requirement for computing freedom. I opposed to that a vision by which the lack of meaningful trustworthiness turns inevitably the other four software freedoms into a disutility to their users, and to people with whom they share code. I suggest that this realization should somehow be “codified” as a 5th freedom, or at least very widely acknowledged within the free software movement.