Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 4 Novembre 2023 10:08
L’Unione Europea sta lavorando per aggiornare il regolamento eIDAS, che regola l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato unico europeo. Si tratta di un atto legislativo importante nell’era della digitalizzazione e il suo aggiornamento è logico visto il rapido sviluppo del settore. Tuttavia, il processo di aggiornamento ha causato preoccupazione. Nel marzo 2022, un gruppo di esperti ha scritto una lettera aperta ai membri del Parlamento europeo , avvertendo dei rischi della nuova versione di eIDAS per il quadro globale di sicurezza di Internet.
La versione preliminare di eIDAS 2.0, che ha ricevuto l’approvazione dei negoziatori dell’UE, suscita allarme a causa delle sue conseguenze che, secondo Mozilla, potrebbero essere ancora più gravi di quanto si pensasse. Nella sua nuova risorsa “Last Chance to Fix eIDAS”, Mozilla spiega in dettaglio come la nuova legislazione richiederà a tutti i browser web nell’UE di fidarsi delle autorità di certificazione e delle chiavi crittografiche approvate dai governi nazionali.
Secondo Mozilla, queste innovazioni potrebbero rafforzare significativamente la capacità dei governi dell’UE di monitorare i propri cittadini, fornendo loro gli strumenti per intercettare il traffico Internet crittografato in tutta l’Unione Europea. Pertanto, qualsiasi stato membro dell’UE sarà in grado di assegnare chiavi utilizzate per autenticare i siti Web e ai browser Web non sarà consentito rifiutarsi di fidarsi di queste chiavi senza l’esplicito permesso del governo.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Un tale sistema consente a qualsiasi Stato membro dell’UE di rilasciare certificati di intercettazione e sorveglianza che possono essere utilizzati contro qualsiasi cittadino dell’UE, indipendentemente dal suo luogo di residenza. Tuttavia, non esiste un controllo indipendente o un bilanciamento dei poteri riguardo all’emissione e all’uso di queste chiavi. Tali misure sollevano serie preoccupazioni alla luce delle differenze nel rispetto dello stato di diritto tra gli Stati membri dell’UE e dei casi documentati di agenzie di intelligence che abusano del potere per scopi politici.
L’European Signature Dialog, che mira a “riunire i principali fornitori di servizi fiduciari europei per condividere le migliori pratiche, sviluppare una posizione comune del settore sulle questioni normative e potenziare le soluzioni europee per la sicurezza dei dati”, non è d’accordo con l’analisi presentata da Mozilla. Il post di LinkedIn dice quanto segue: “Mozilla ha recentemente lanciato una campagna accusando l’attuale legislazione eIDAS di disinformazione per bloccare le modifiche all’articolo 45 relativo ai certificati di autenticazione web qualificati dell’UE (“QWAC”).“
Un documento dell’European Signature Dialog confuterebbe presumibilmente le affermazioni di Mozilla. Per coloro che sono interessati a comprendere la tecnologia sottostante, Eric Rescorla suggerisce una introduzione a eIDAS e QWAC pubblicata sul blog Educated Guesswork. Ma c’è anche una questione meno tecnica. Mozilla afferma: “Fare in modo che i browser si fidino automaticamente delle autorità di certificazione governative è una tattica chiave utilizzata dai regimi autoritari e tale azione dell’UE potrebbe supportare questa tendenza. In breve, se questa legge fosse adottata da altri Stati, potrebbe minacciare la sicurezza informatica e i diritti umani fondamentali.“
A questa illazione risponde l’European Signature Dialog sulla firma: “L’Unione Europea non controlla le CA “root” utilizzate dagli emittenti QWAC, e quindi l’UE non può utilizzare i certificati per “spiare” i cittadini dell’UE. Mozilla dovrebbe vergognarsi di se stessa per aver fatto una simile affermazione.“
L’Unione Europea potrebbe non avere il controllo sulle CA “root”, ma Mozilla sostiene che i singoli stati membri dell’UE potrebbero effettivamente essere in grado di ottenere tale controllo, che a sua volta potrebbe consentire alle loro agenzie di intelligence di monitorare, ad esempio, il traffico web crittografato.
European Signature Dialog conclude la sua risposta con la domanda: “Perché Mozilla diffonde questa disinformazione? ” e risponde: ” Mozilla è spesso percepito come un satellite di Google, aprendo la strada a Google per promuovere i suoi interessi commerciali“. Questo attacco alle motivazioni di Mozilla, insinuando che sia semplicemente un “satellite” di Google, implica una mancanza di fiducia negli altri argomenti avanzati dall’European Signature Dialog.
Inoltre, l’accusa secondo cui si tratta solo di un tentativo di Google di aggirare la legislazione europea è smentita dal fatto che, oltre a Mozilla, 335 accademici e ricercatori di 32 paesi, nonché diverse ONG, hanno firmato una dichiarazione congiunta in cui criticano la proposta di riforma eIDAS. Gli accademici avvertono: “L’agenzia controllata dal governo sarebbe in grado di intercettare il traffico web non solo dei propri cittadini, ma di tutti i cittadini dell’UE, comprese informazioni bancarie, dati protetti dalla legge, cartelle cliniche e foto di famiglia. L’intercettazione è possibile anche quando si visitano siti web al di fuori dell’UE, poiché l’istituzione designata potrà emettere certificati per qualsiasi sito web, che tutti i browser dovranno accettare. Sebbene eIDAS 2.0 offra ai cittadini l’opportunità di rinunciare a nuovi servizi e funzionalità, ciò non si applica all’articolo 45. Ogni cittadino dovrà fidarsi di questi certificati e quindi ogni cittadino dovrà affrontare una minaccia alla propria sicurezza online.“
In conclusione riportano :”Questo regolamento non elimina nessuno dei rischi esistenti. Al contrario, minando i comprovati processi di autenticazione web sicuri, introduce nuovi rischi senza alcun beneficio per i cittadini, le imprese e le istituzioni europee. Inoltre, se la legge entrasse in vigore, si può presumere che altri paesi spingeranno per privilegi di browser simili a quelli degli Stati membri dell’UE – qualcosa che alcuni hanno tentato senza successo in passato – creando così una minaccia globale alla sicurezza web.“
RedazioneDietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
