Redazione RHC : 4 Novembre 2023 10:08
L’Unione Europea sta lavorando per aggiornare il regolamento eIDAS, che regola l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato unico europeo. Si tratta di un atto legislativo importante nell’era della digitalizzazione e il suo aggiornamento è logico visto il rapido sviluppo del settore. Tuttavia, il processo di aggiornamento ha causato preoccupazione. Nel marzo 2022, un gruppo di esperti ha scritto una lettera aperta ai membri del Parlamento europeo , avvertendo dei rischi della nuova versione di eIDAS per il quadro globale di sicurezza di Internet.
La versione preliminare di eIDAS 2.0, che ha ricevuto l’approvazione dei negoziatori dell’UE, suscita allarme a causa delle sue conseguenze che, secondo Mozilla, potrebbero essere ancora più gravi di quanto si pensasse. Nella sua nuova risorsa “Last Chance to Fix eIDAS”, Mozilla spiega in dettaglio come la nuova legislazione richiederà a tutti i browser web nell’UE di fidarsi delle autorità di certificazione e delle chiavi crittografiche approvate dai governi nazionali.
Secondo Mozilla, queste innovazioni potrebbero rafforzare significativamente la capacità dei governi dell’UE di monitorare i propri cittadini, fornendo loro gli strumenti per intercettare il traffico Internet crittografato in tutta l’Unione Europea. Pertanto, qualsiasi stato membro dell’UE sarà in grado di assegnare chiavi utilizzate per autenticare i siti Web e ai browser Web non sarà consentito rifiutarsi di fidarsi di queste chiavi senza l’esplicito permesso del governo.
Un tale sistema consente a qualsiasi Stato membro dell’UE di rilasciare certificati di intercettazione e sorveglianza che possono essere utilizzati contro qualsiasi cittadino dell’UE, indipendentemente dal suo luogo di residenza. Tuttavia, non esiste un controllo indipendente o un bilanciamento dei poteri riguardo all’emissione e all’uso di queste chiavi. Tali misure sollevano serie preoccupazioni alla luce delle differenze nel rispetto dello stato di diritto tra gli Stati membri dell’UE e dei casi documentati di agenzie di intelligence che abusano del potere per scopi politici.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
L’European Signature Dialog, che mira a “riunire i principali fornitori di servizi fiduciari europei per condividere le migliori pratiche, sviluppare una posizione comune del settore sulle questioni normative e potenziare le soluzioni europee per la sicurezza dei dati”, non è d’accordo con l’analisi presentata da Mozilla. Il post di LinkedIn dice quanto segue: “Mozilla ha recentemente lanciato una campagna accusando l’attuale legislazione eIDAS di disinformazione per bloccare le modifiche all’articolo 45 relativo ai certificati di autenticazione web qualificati dell’UE (“QWAC”).“
Un documento dell’European Signature Dialog confuterebbe presumibilmente le affermazioni di Mozilla. Per coloro che sono interessati a comprendere la tecnologia sottostante, Eric Rescorla suggerisce una introduzione a eIDAS e QWAC pubblicata sul blog Educated Guesswork. Ma c’è anche una questione meno tecnica. Mozilla afferma: “Fare in modo che i browser si fidino automaticamente delle autorità di certificazione governative è una tattica chiave utilizzata dai regimi autoritari e tale azione dell’UE potrebbe supportare questa tendenza. In breve, se questa legge fosse adottata da altri Stati, potrebbe minacciare la sicurezza informatica e i diritti umani fondamentali.“
A questa illazione risponde l’European Signature Dialog sulla firma: “L’Unione Europea non controlla le CA “root” utilizzate dagli emittenti QWAC, e quindi l’UE non può utilizzare i certificati per “spiare” i cittadini dell’UE. Mozilla dovrebbe vergognarsi di se stessa per aver fatto una simile affermazione.“
L’Unione Europea potrebbe non avere il controllo sulle CA “root”, ma Mozilla sostiene che i singoli stati membri dell’UE potrebbero effettivamente essere in grado di ottenere tale controllo, che a sua volta potrebbe consentire alle loro agenzie di intelligence di monitorare, ad esempio, il traffico web crittografato.
European Signature Dialog conclude la sua risposta con la domanda: “Perché Mozilla diffonde questa disinformazione? ” e risponde: ” Mozilla è spesso percepito come un satellite di Google, aprendo la strada a Google per promuovere i suoi interessi commerciali“. Questo attacco alle motivazioni di Mozilla, insinuando che sia semplicemente un “satellite” di Google, implica una mancanza di fiducia negli altri argomenti avanzati dall’European Signature Dialog.
Inoltre, l’accusa secondo cui si tratta solo di un tentativo di Google di aggirare la legislazione europea è smentita dal fatto che, oltre a Mozilla, 335 accademici e ricercatori di 32 paesi, nonché diverse ONG, hanno firmato una dichiarazione congiunta in cui criticano la proposta di riforma eIDAS. Gli accademici avvertono: “L’agenzia controllata dal governo sarebbe in grado di intercettare il traffico web non solo dei propri cittadini, ma di tutti i cittadini dell’UE, comprese informazioni bancarie, dati protetti dalla legge, cartelle cliniche e foto di famiglia. L’intercettazione è possibile anche quando si visitano siti web al di fuori dell’UE, poiché l’istituzione designata potrà emettere certificati per qualsiasi sito web, che tutti i browser dovranno accettare. Sebbene eIDAS 2.0 offra ai cittadini l’opportunità di rinunciare a nuovi servizi e funzionalità, ciò non si applica all’articolo 45. Ogni cittadino dovrà fidarsi di questi certificati e quindi ogni cittadino dovrà affrontare una minaccia alla propria sicurezza online.“
In conclusione riportano :”Questo regolamento non elimina nessuno dei rischi esistenti. Al contrario, minando i comprovati processi di autenticazione web sicuri, introduce nuovi rischi senza alcun beneficio per i cittadini, le imprese e le istituzioni europee. Inoltre, se la legge entrasse in vigore, si può presumere che altri paesi spingeranno per privilegi di browser simili a quelli degli Stati membri dell’UE – qualcosa che alcuni hanno tentato senza successo in passato – creando così una minaccia globale alla sicurezza web.“
RedazioneSono state scoperte vulnerabilità critiche nel Triton Inference Server di NVIDIA, che minacciano la sicurezza dell’infrastruttura di intelligenza artificiale su Windows e Linux. La soluzio...
Attraverso la funzionalità Component Object Model (COM) di BitLocker, gli aggressori possono mettere in atto una tecnica innovativa di pivoting, finalizzata all’esecuzione di codice malevo...
Nel dicembre 2020, il mining pool cinese LuBian, che all’epoca occupava quasi il 6% della capacità totale della rete Bitcoin, è stato vittima di un attacco la cui portata è stata...
Ne avevamo parlato con un articolo sul tema diverso tempo fa redatto da Massimiliano Brolli. Oggi la sicurezza informatica non è più un’opzione né un valore accessorio: è un...
Scienziati della Nanyang Technological University, insieme a colleghi giapponesi, hanno creato la prima linea robotica al mondo per la produzione in serie di scarafaggi cyborg. Ciò ha permesso di...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
