Contact
default-logo
BREAKING NEWS

Conversazione sull’Internet Governance organizzata dal consolato svizzero di New York, da DiploFoundation e dal think tank americano New America NYC.

PARTICIPANTS

Dr. Jovan Kurbalija
Director, DiploFoundation
Author, Introduction to Internet Governance
@jovankurbalija

Constance Bommelaer
Senior Director for Global Policy Partnerships, Internet Society

Olivier Sylvain
Associate Professor of Law, Fordham University
@oliviersylvain

George Sadowsky
Member, Internet Governance Forum series
Member, Board of Directors, the Internet Corporation for Assigned Names and Numbers (ICANN)
@georgesadowsky

Stefaan Verhulst
Co-founder and Chief Research and Development Officer, the Governance Lab
@TheGovLab

fccÈ arrivata l’attesissima votazione della Federal Communications Commission (FCC) statunitense sulla riclassificazione dei provider di connettività al titolo II del Telecommunications Act. Come spiego qui in maniera più approfondita, la riclassificazione assicura una tutela legale al principio della net neutrality, messo in discussione dai principali carreer del traffico Internet.

La FCC ha votato la riclassificazione con tre commissari favorevoli e due contrari. Un voto storico che impedisce ai grandi player della telecomunicazione a stelle e strisce di discriminare il traffico che passa sulle proprie linee sulla base di tariffe, contenuti, fonti e destinatari, e di asseganre priorità di trasmissione ad alcuni dati rispetto ad altri.

Mentre i governi del mondo chiedono aiuto ai “colossi del web” per la sorveglianza e il controllo delle popolazioni nell’ambito della “lotta al terrorismo”, il principale produttore di PC al mondo pre-installa malware sui suoi diffusissimi laptop. I ricercatori di Infosec hanno scoperto che i modelli più recenti di computer Lenovo vengono venduti con un’installazione di Superfish, un programma che ha due funzioni, una più riprovevole dell’altra. La prima è quella di “sabotare” i risultati di ricerca di Google, inserendo propri  annunci pubblicitari sulle pagine visualizzate dagli utenti. La seconda è quella di installare un certificato HTTPS (self-signed root HTTPS certificate) che intercetta le comunicazioni crittografate tra il PC dell’utente e i siti che visita, le controlla, le “firma”, e si presenta al browser dell’utente come se fosse il certificato originale. Il certificato mette a rischio la sicurezza dei computer a prescindere dal browser utilizzato ed espone ad attacchi man-in-the-middle, quelli in cui un hacker connesso alla nostra stessa rete wi-fi si interpone tra noi e il server, monitorando tutto ciò che facciamo online. Nel caso di Superfish, attacchi del genere sono alla portata anche dei profani dell’hacking. La chiave di encryption è infatti uguale per tutti i computer Lenovo, e in poche ore è stata crackata da Rob Graham della Errata Security (la password è “komodia”). Con quella chiave, chiunque sia collegato al nostro stesso hot spot pubblico, può presentare al nostro browser certificati HTTPS fasulli, inducendoci a inserire le credenziali del nostro account bancario (o di Facebook o Gmail) su pagine fittizie.

lenovomalwareLenovo, che inizialmente aveva con cautela evitato di dare spiegazioni pubbliche sulla vicenda, ha dovuto rilasciare un comunicato ufficiale una volta che la notizia è passata dai siti specializzati (come Ars Technica e Wired) a quelli mainstream (come Forbes e CNN). Ma anche in questo caso c’è stata un’assoluta mancanza di trasparenza. Nella prima versione, riportata da Ars Technica, si leggeva che le installazioni di Superfish riguardavano solo computer consegnati tra ottobre e dicembre 2014. La presenza di Superfish però era stata già segnalata il 21 settembre in un post sul forum degli utenti Lenovo (ancora online). Attualmente, la pagina del comunicato non riporta più il riferimento al periodo ottobre-dicembre, e si limita a sostenere che Superfish non è stato più installato a partire dagli inizi del 2015.

I protagonisti.

Lenovo è una transnazionale fondata a Pechino nel 1984 e quotata tra le cosiddette “Red Chips” alla borsa di Hong Kong a partire dal 1988. Ha acquistato IBM nel 2005 e Motorola nel 2014. Dal 2012 è entrata anche nel settore degli smart phone, diventando nei due anni successivi il leader di questo mercato in Cina.

Superfish,  già oggetto di polemiche per diversi adware e spyware diffusi in rete dal 2006 ad oggi, è una società con sede a Palo Alto, in California, fondata e diretta da Adi Pinhas, ex dipendente Intel ed ex collaboratore di una delle più discusse società di intelligence israeliane, la Verint, creata dalla Unit 8200, l’elite dei servizi segreti militari di Tel Aviv (coinvolta anche nel Datagate). La password usata per criptare il certificato di Superfish, komodia, è il nome di una società israeliana specializzata in “iniezioni pubblicitarie” e “intercettazioni globali”, fondata da Barak Weichselbaum, uomo chiave dell’industria della sorveglianza elettronica in Israele e contractor dell’esercito israeliano.

International Seminar on Internet Governance

Speakers:
Aaron Shull, counsel and corporate secretary, Centre for International Governance Innovation (CIGI), Canada
Chris Riley, Mozilla
Markus Kummer, ISOC
William Drake, Media Change & Innovation Division, IPMZ, University of Zurich
Carlos Affonso Souza, director, Institute for Technology and Society, Rio de Janeiro, Brazil
Alex Gakuru, executive director, CODE-IP Trust, Kenya

1reclassifySale la tensione in vista della decisione sulla net neutrality della Federal Communications Commission (FCC), l’agenzia governativa che regola il sistema delle comunicazioni negli USA. La commissione deve decidere entro il 26 febbraio se riclassificare come servizi di telecomunicazione i servizi di trasmissione dati a banda larga, che attualmente considera “information service”. In caso di riclassificazione, i grandi provider di connettività come Comecast, Verizon e AT&T assumerebbero lo status di “common carriers”, sarebbero regolati dal Titolo II del Telecommunications Act e dovrebbero fare i conti con una normativa orientata alla tutela dell’interesse pubblico e al principio del servizio universale. Nella sostanza non potrebbero differenziare il traffico che passa sulle proprie linee sulla base di tariffe, contenuti, fonti e destinatari, non potrebbero decidere a quali dati dare priorità nella trasmissione e quali dati al contrario rallentare. È quanto chiedono i numerosi attivisti per i diritti digitali che, secondo un recentissimo studio del Berkman Center for Internet & Society di Harvard, sono riusciti a modificare gli orientamenti della FCC attraverso la “sfera pubblica interconnessa”, mobilitando un’impressionante quantità di consenso attorno alle proprie tesi e riuscendo a plasmare il dibattito pubblico sulla questione.

Una questione specifica che, sebbene abbia radici più profonde nel dibattito sull’Internet governance, si è posta a partire dal 14 febbraio 2014, quando la Corte d’Appello federale, su ricorso presentato da Verizon, ha bocciato l’Open Internet Order del 2010 emanato dalla stessa FCC per impedire che i career operassero discriminazioni tra i dati creando “linee veloci”. La Corte, senza entrare nel merito del contendere, ha contestato alla FCC il fatto di sottoporre i provider di connettività alle norme dei common carrier continuando però a includerli tra i fornitori di “servizi informatici”. Se vuole assicurare il principio della net neutrality, è stata la conclusione della Corte, la FCC deve riclassificare il servizio, ancorando il suo orientamento di policy a più solide basi legali. La FCC e la Casa Bianca hanno deciso di seguire questa strada, spinti da una prima mobilitazione organizzata da We the People. La proposta di legge è stata poi sottoposta a due round di consultazione, entrambi dominati dai commenti pro-net neutrality (veicolati in gran parte da siti di advocacy come battleforthenet). Il 10 novembre scorso il Presidente Obama ha preso pubblicamente posizione a favore della riclassificazione, ribadendo l’impegno della Casa Bianca per rigide norme a tutela della neutralità delle infrastrutture.

Le lobby dei carrer però non si son date per vinte e, soprattutto nell’ultimo periodo, hanno incrementato i loro sforzi per scongiurare la riclassificazione. Il loro portavoce in commissione è diventato Ajit Pai, repubblicano, ex avvocato di Verizon, che in questi giorni ha tuonato contro la norma salva-net neutrality dipingendola come un’ingerenza illegittima della FCC in un settore privato, che metterà a rischio la competitività delle corporation statunitensi e comporterà nuove tasse a causa dei sistemi di controllo che renderà necessari. Alla sua conferenza stampa nella sede della FCC si sono registrati momenti di tensione con alcuni attivisti allontanati per aver mostrato uno striscione che, citando un sondaggio di novembre, recitava: “L’85% degli elettori repubblicani è a favore della net neutrality”. La decisione della FCC non è ad oggi scontata e con l’avvicinarsi della fatidica data gli sforzi di propaganda, sensibilizzazione e mobilitazione dei due schieramenti si stanno intensificando.

Il Global Internet Governance Academic Network (GigaNet) ha pubblicato la call per il suo decimo Annual Symposium. Come ogni anno l’evento di GigaNet precede di un giorno  l’Internet Governance Forum e si tiene nello stesso luogo. È il presidio accademico dell’IGF, e come quest’ultimo compie dieci anni. Quest’anno l’IGF si terrà a João Pessoa, in Brasile, il 10 novembre. La Call è aperta a tutti, è richiesto un abstract esteso da 800-1000 parole (più o meno 2 cartelle) entro il 15 aprile. Le lingue accettate sono l’inglese, lo spagnolo e il portoghese.

Timetable

15 April 2015: deadline for submission of proposals and cv

15 May 2015: GigaNet informs selected authors by email

15 September 2015: deadline for submission of complete papers

09 November 2015: GigaNet symposium in João Pessoa, Brazil

quintarelli-small-300x225Passa a sorpresa alla Camera dei Deputati l’emendamento di Stefano Quintarelli  per la modifica dell’art. 117 della Costituzione che trasferisce le competenze in materia di sistemi informativi della Pubblica Amministrazione, anche a livello regionale e comunale, allo Stato. Si tratta di una svolta epocale, che fa fare un passo avanti di decenni al nostro Paese. Il coordinamento statale infatti porrà rimedio a una situazione incresciosa e intollerabile, ossia alla balcanizzazione della spesa pubblica e delle strategie per il digitale in una galassia incoerente, contraddittoria e inefficace di minipiattaforme diverse e spesso non interoperabili adottate da una miriade di enti pubblici, che di sovente non hanno nemmeno le competenze per far funzionare i sistemi informatici che acquistano. Un approccio, quello che si è seguito in questi anni, quanto meno paradossale, in quanto porta a frammentare le politiche pubbliche in un contesto – quello delle reti – che invece si basa su standard globali e su politiche di governance negoziate a livello internazionale. Un approccio che, inoltre, rappresenta la causa primaria dello spreco colossale di denaro pubblico cui abbiamo assistito negli ultimi decenni in Italia in materia di digitalizzazione della pubblica amministrazione.

L’emendamento di Quintarelli era entrato in aula già sconfitto, con il parere contrario del governo, della commissione e del relatore di minoranza. A quel punto, come fosse un navigato politico, Quintarelli ha deciso di ritirare l’emendamento, consentendo ad altri parlamentari di intervenire sul merito della proposta. Una mossa indovinata, visto che subito dopo la Camera ha approvato l’emendamento all’unanimità. Un fatto storico anche dal punto di vista politico dato che, come ricorda Orlando Rocchi su Key for Web, per ritrovare una modifica costituzionale approvata con 0 voti contrari bisogna risalire al 1948.

La votazione di ieri sull’articolo 117 della Costituzione dimostra chiaramente quali e quanti progressi è in grado di far fare al Paese la presenza, tra gli scranni parlamentari, di anche una sola persona competente, ostinata e appassionata. Peccato che la maggioranza degli organi di informazione mainstream non abbia compreso, almeno per ora, l’importanza dell’evento di ieri e non abbia divulgato la notizia ai propri lettori con la rilevanza che meriterebbe.

thIl Consiglio dei Ministri ha appena adottato misure urgenti per il contrasto al terrorismo.   Lo schema di decreto-legge contiene numerose misure che impattano profondamente sulla rete e sui diritti digitali. I provvedimenti che hanno un effetto più diretto sulle politiche digitali e sulla governance di Internet sono i seguenti:

  • aggravamenti delle pene stabilite per i delitti di apologia e di istigazione al terrorismo commessi attraverso strumenti telematici;
  • la possibilità per l’Autorità Giudiziaria di ordinare agli internet provider di inibire l’accesso ai siti utilizzati per commettere reati con finalità di terrorismo, compresi nell’elenco costantemente aggiornato dal Servizio Polizia Postale e delle Telecomunicazioni della Polizia di Stato. Nel caso di inosservanza è la stessa Autorità Giudiziaria a disporre l’interdizione dell’accesso ai relativi domini internet.

Vista l’importanza assunta dalle agenzie di intelligence nell’arena dell’Internet governance nell’era post-Snowden, sono significative anche le misure che estendono i poteri e le immunità degli agenti segreti

  • la semplificazione, nel rispetto del Codice della privacy, delle modalità con le quali le Forze di polizia effettuano trattamenti di dati personali previsti da norme di regolamento, oltre a quelli contemplati da disposizioni di rango primario;
  • l’ampliamento delle “garanzie funzionali” riconosciute agli appartenenti ai Servizi di informazione,escludendo la punibilità di una serie di condotte in materia di terrorismo (diverse dai reati di attentato o di sequestro di persona), commesse dal personale delle Agenzie di intelligence per finalità istituzionali e previa autorizzazione del Presidente del Consiglio dei Ministri.
  • la possibilità per il personale dei Servizi possa deporre nei procedimenti giudiziari, mantenendo segreta la reale identità personale;
  • la possibilità per le Agenzie di intelligence, consentendo loro, previa autorizzazione dell’Autorità Giudiziaria, di effettuare, fino al 31 gennaio 2016, colloqui con soggetti detenuti o internati, al fine di acquisire informazioni per la prevenzione di delitti con finalità terroristica di matrice internazionale

Un effetto più indiretto lo avrà il provvedimento che prevede di punire penalmente anche chi si auto-addestra alle tecniche terroristiche, visto che l’auto-addestramento consiste essenzialmente nel procacciarsi informazioni e istruzioni, generalmente online.

password_606-11387690Mark Burnett, un ricercatore americano di cybersecurity, ha pubblicato sul suo blog 10 milioni di password con relativi nomi utente. “Studenti e ricercatori di sicurezza – ha spiegato – mi chiedono spesso una copia dei database che uso per le mie attività di ricerca sulla sicurezza delle password. Conoscere le password più diffuse e le loro relazioni con i nomi utente ci dice molto del comportamento online delle persone, e può aiutarci a studiare soluzioni di sicurezza più efficaci”.

Ma Burnett non è sereno. La recente condanna del giornalista americano Barrett Brown a 63 mesi di prigione lo spinge a mettere le mani avanti. Brown aveva pubblicato in alcuni canali di chat del materiale di un’inchiesta su un gruppo di militari, agenti governativi e contractor del settore della sicurezza che stavano organizzando azioni di intelligence per screditare Wikileaks e il giornalista Glenn Greenwald (quello del Datagate). In quel materiale, ottenuto da Anonymous e messo in rete, c’erano anche password e numeri di carte di credito. L’FBI ha utilizzato questo pretesto per arrestare il giornalista, configurando la sua azione divulgativa come supporto al furto d’identità e di dati finanziari.

Ricordando questi eventi (che la stampa ha in larga parte taciuto sia negli USA che in Europa), Mark Burnett ha accompagnato il suo database di 10 milioni di credenziali con un lungo testo in cui argomenta perché l’FBI dovrebbe lasciarlo in pace. In sintesi, Burnett afferma di aver raccolto le credenziali online in un arco temporale di dieci anni, di essere sicuro che molti account non siano più utilizzati, di aver rimosso le informazioni che potrebbero portare a identificare l’account, di aver cancellato le informazioni riguardanti account militari o di agenti dai sicurezza, ecc. Burnett segnala anche che una proposta della Casa Bianca di modifica del Computer Fraud and Abuse Act potrebbe mettere ulteriormente nei guai giornalisti e ricercatori. La modifica infatti abolirebbe la condizione della “intenzione di compiere una frode” per configurare il reato di traffico di dati, impattanto fortemente il diritto di espressione e il diritto di cronaca.

In segno di solidarietà con Mark Burnett sono comparsi su Twitter alcuni account che postano in automatico le credenziali pubblicate dal ricercatore.

Lo avevano annunciato subito dopo il massacro alla redazione di Charlie Hebdo a Parigi: combatteremo l’ISIS con tutti i nostri mezzi. Che il network di hacker Anonymous prendesse posizione sulla strage al settimanale satirico in maniera così repentina, chiara e decisa c’era da immaginarselo, visto che il credo hacker lega al principio della libertà d’espressione l’esercizio della libertà di codifica, il diritto a manipolare i codici dei programmi senza vincoli politici ed economici.

Ieri notte un account YouTube molto vicino agli ambienti Anonymous ha pubblicato un video di rivendicazione della prima Operazione ISIS, #OpISIS nella terminologia paramilitare che l’organizzazione utilizza su Twitter.

Il video è corredato da un link Pastebin , la piattaforma progettata per condividere codici e script per programmi e usata di sovente da Anonymous per far circolare testi lunghi come i comunicati. Qui Anonymous ha pubblicato un elenco di account Twitter (bloccati o da bloccare) usati per fare proselitismo jihadista online, una manciata di profili Facebook che si consiglia di tenere sotto controllo perché “sospettati di essere in contatto con i terroristi dell’ISIS in Siria e Iraq”, una cinquantina di indirizzi email di membri dell’ISIS, e qualche indirizzo IP. Un vero e proprio rapporto di intelligence che risulterà senza dubbio utile a quelli che tradizionalmente erano gli acerrimi nemici di Anonymous: FBI, CIA e NSA.

opisis

L’operazione contro il Califfato porta la firma di ReadCult Team, un noto gruppo della galassia Anonymous che ha compiuto la gran parte delle incursioni. All’azione si sono aggiunte altre sigle più o meno note: Tom McLennon, MajHoul (quello dell’account YouTube) e G. Un secondo round è stato già annunciato e ci si aspetta il consueto effetto valanga, con sempre più gruppi hacker impegnati in qualche operazione da postare in rete con l’hashtag #OpISIS.