Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 4 Novembre 2023 10:08
L’Unione Europea sta lavorando per aggiornare il regolamento eIDAS, che regola l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato unico europeo. Si tratta di un atto legislativo importante nell’era della digitalizzazione e il suo aggiornamento è logico visto il rapido sviluppo del settore. Tuttavia, il processo di aggiornamento ha causato preoccupazione. Nel marzo 2022, un gruppo di esperti ha scritto una lettera aperta ai membri del Parlamento europeo , avvertendo dei rischi della nuova versione di eIDAS per il quadro globale di sicurezza di Internet.
La versione preliminare di eIDAS 2.0, che ha ricevuto l’approvazione dei negoziatori dell’UE, suscita allarme a causa delle sue conseguenze che, secondo Mozilla, potrebbero essere ancora più gravi di quanto si pensasse. Nella sua nuova risorsa “Last Chance to Fix eIDAS”, Mozilla spiega in dettaglio come la nuova legislazione richiederà a tutti i browser web nell’UE di fidarsi delle autorità di certificazione e delle chiavi crittografiche approvate dai governi nazionali.
Secondo Mozilla, queste innovazioni potrebbero rafforzare significativamente la capacità dei governi dell’UE di monitorare i propri cittadini, fornendo loro gli strumenti per intercettare il traffico Internet crittografato in tutta l’Unione Europea. Pertanto, qualsiasi stato membro dell’UE sarà in grado di assegnare chiavi utilizzate per autenticare i siti Web e ai browser Web non sarà consentito rifiutarsi di fidarsi di queste chiavi senza l’esplicito permesso del governo.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Un tale sistema consente a qualsiasi Stato membro dell’UE di rilasciare certificati di intercettazione e sorveglianza che possono essere utilizzati contro qualsiasi cittadino dell’UE, indipendentemente dal suo luogo di residenza. Tuttavia, non esiste un controllo indipendente o un bilanciamento dei poteri riguardo all’emissione e all’uso di queste chiavi. Tali misure sollevano serie preoccupazioni alla luce delle differenze nel rispetto dello stato di diritto tra gli Stati membri dell’UE e dei casi documentati di agenzie di intelligence che abusano del potere per scopi politici.
L’European Signature Dialog, che mira a “riunire i principali fornitori di servizi fiduciari europei per condividere le migliori pratiche, sviluppare una posizione comune del settore sulle questioni normative e potenziare le soluzioni europee per la sicurezza dei dati”, non è d’accordo con l’analisi presentata da Mozilla. Il post di LinkedIn dice quanto segue: “Mozilla ha recentemente lanciato una campagna accusando l’attuale legislazione eIDAS di disinformazione per bloccare le modifiche all’articolo 45 relativo ai certificati di autenticazione web qualificati dell’UE (“QWAC”).“
Un documento dell’European Signature Dialog confuterebbe presumibilmente le affermazioni di Mozilla. Per coloro che sono interessati a comprendere la tecnologia sottostante, Eric Rescorla suggerisce una introduzione a eIDAS e QWAC pubblicata sul blog Educated Guesswork. Ma c’è anche una questione meno tecnica. Mozilla afferma: “Fare in modo che i browser si fidino automaticamente delle autorità di certificazione governative è una tattica chiave utilizzata dai regimi autoritari e tale azione dell’UE potrebbe supportare questa tendenza. In breve, se questa legge fosse adottata da altri Stati, potrebbe minacciare la sicurezza informatica e i diritti umani fondamentali.“
A questa illazione risponde l’European Signature Dialog sulla firma: “L’Unione Europea non controlla le CA “root” utilizzate dagli emittenti QWAC, e quindi l’UE non può utilizzare i certificati per “spiare” i cittadini dell’UE. Mozilla dovrebbe vergognarsi di se stessa per aver fatto una simile affermazione.“
L’Unione Europea potrebbe non avere il controllo sulle CA “root”, ma Mozilla sostiene che i singoli stati membri dell’UE potrebbero effettivamente essere in grado di ottenere tale controllo, che a sua volta potrebbe consentire alle loro agenzie di intelligence di monitorare, ad esempio, il traffico web crittografato.
European Signature Dialog conclude la sua risposta con la domanda: “Perché Mozilla diffonde questa disinformazione? ” e risponde: ” Mozilla è spesso percepito come un satellite di Google, aprendo la strada a Google per promuovere i suoi interessi commerciali“. Questo attacco alle motivazioni di Mozilla, insinuando che sia semplicemente un “satellite” di Google, implica una mancanza di fiducia negli altri argomenti avanzati dall’European Signature Dialog.
Inoltre, l’accusa secondo cui si tratta solo di un tentativo di Google di aggirare la legislazione europea è smentita dal fatto che, oltre a Mozilla, 335 accademici e ricercatori di 32 paesi, nonché diverse ONG, hanno firmato una dichiarazione congiunta in cui criticano la proposta di riforma eIDAS. Gli accademici avvertono: “L’agenzia controllata dal governo sarebbe in grado di intercettare il traffico web non solo dei propri cittadini, ma di tutti i cittadini dell’UE, comprese informazioni bancarie, dati protetti dalla legge, cartelle cliniche e foto di famiglia. L’intercettazione è possibile anche quando si visitano siti web al di fuori dell’UE, poiché l’istituzione designata potrà emettere certificati per qualsiasi sito web, che tutti i browser dovranno accettare. Sebbene eIDAS 2.0 offra ai cittadini l’opportunità di rinunciare a nuovi servizi e funzionalità, ciò non si applica all’articolo 45. Ogni cittadino dovrà fidarsi di questi certificati e quindi ogni cittadino dovrà affrontare una minaccia alla propria sicurezza online.“
In conclusione riportano :”Questo regolamento non elimina nessuno dei rischi esistenti. Al contrario, minando i comprovati processi di autenticazione web sicuri, introduce nuovi rischi senza alcun beneficio per i cittadini, le imprese e le istituzioni europee. Inoltre, se la legge entrasse in vigore, si può presumere che altri paesi spingeranno per privilegi di browser simili a quelli degli Stati membri dell’UE – qualcosa che alcuni hanno tentato senza successo in passato – creando così una minaccia globale alla sicurezza web.“
RedazioneIl MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
