Il Thread di @matthew\_d\_green su Apple e il suo "Private Cloud Compute" e il bilanciamento tra elaborazione in locale e nel Cloud. ==========

@informatica

Quindi Apple ha introdotto un nuovo sistema chiamato “Private Cloud Compute” che consente al telefono di scaricare attività complesse (tipicamente AI) su dispositivi sicuri specializzati nel cloud. Sto ancora cercando di capire cosa ne penso. Quindi ecco un thread. 1/

Apple, a differenza della maggior parte degli altri operatori di telefonia mobile, tradizionalmente esegue molte elaborazioni sul dispositivo. Ad esempio, tutto il machine learning e il riconoscimento del testo OCR su Foto vengono eseguiti direttamente sul tuo dispositivo. 2/

Il problema è che, sebbene l’hardware “neurale” dei moderni telefoni stia migliorando, non sta migliorando abbastanza velocemente per sfruttare tutte le folli funzionalità che la Silicon Valley desidera dall’intelligenza artificiale moderna, inclusa l’intelligenza artificiale generativa e simili. Ciò richiede fondamentalmente server. 3/

Ma se invii le tue attività ai server nel "cloud" (dio che usa le virgolette mi fa sentire 80), ciò significa inviare dati incredibilmente privati ​​dal tuo telefono e su Internet. Ciò ti espone allo spionaggio, all’hacking e al modello di business affamato di dati della Silicon Valley. 4/

La soluzione che Apple ha trovato è provare a costruire hardware sicuro e affidabile nei propri data center. Il tuo telefono può quindi "esternalizzare" compiti pesanti a questo hardware. Sembra facile, vero? Bene: ecco il post sul blog. 5/

TL;DR: non è facile. Costruire computer affidabili è letteralmente il problema più difficile nella sicurezza informatica. Onestamente è quasi l'unico problema nella sicurezza informatica. Ma anche se rimane un problema impegnativo, abbiamo fatto molti progressi. Apple li utilizza quasi tutti. 6/

La prima cosa che Apple sta facendo è sfruttare tutti i progressi compiuti nella realizzazione di telefoni e PC sicuri nei suoi nuovi server. Ciò comporta l'utilizzo di Secure Boot e di un Secure Enclave Processor (SEP) per conservare le chiavi. Presumibilmente hanno attivato tutte le funzionalità di sicurezza del processore. 7/

Quindi lanciano tutti i tipi di processi sull'hardware del server per assicurarsi che l'hardware non venga manomesso. Non so dire se questo previene gli attacchi hardware, ma sembra un inizio. 8/

Usano anche una serie di protezioni per garantire che il software sia legittimo. Il primo è che il software è “senza stato” e presumibilmente non conserva le informazioni tra le richieste dell'utente. Per garantire ciò, ogni server/nodo si riavvia e reimposta le chiavi e cancella tutto lo spazio di archiviazione. 9/

Una seconda protezione è che il sistema operativo possa “attestare” l'immagine del software in esecuzione. Nello specifico, firma un hash del software e lo condivide con ogni telefono/cliente. Se ti fidi di questa infrastruttura, saprai che esegue un software specifico. 10/

Naturalmente, sapere che sul telefono è in esecuzione un software specifico non ti aiuta se non ti fidi del software. Pertanto Apple prevede di inserire ogni immagine binaria in un "registro di trasparenza" e di pubblicare il software. Ma ecco un punto critico: non con il codice sorgente completo. 11/

I ricercatori della sicurezza riceveranno \del codice\ e una VM che potranno utilizzare per eseguire il software. Dovranno quindi decodificare i binari per vedere se stanno facendo cose inaspettate. E' un po' subottimale. 12/

Quando il tuo telefono desidera esternalizzare un'attività, contatterà Apple e otterrà un elenco di server/nodi e le relative chiavi. Quindi crittograferà la sua richiesta su tutti i server e uno la elaborerà. Usano persino credenziali anonime fantasiose e un relè di terze parti per nascondere il tuo IP. 13/

Ok, probabilmente ci sono una mezza dozzina di dettagli tecnici in più nel post del blog. È un design molto premuroso. In effetti, se dessi a un team eccellente un’enorme quantità di denaro e gli dicessi di costruire il miglior cloud “privato” al mondo, probabilmente sarebbe simile a questo. 14/

Ma ora le domande difficili. È una buona idea? Ed è sicuro quanto quello che fa Apple oggi? E, soprattutto:

> Gli utenti possono rinunciare completamente a questa funzione? 15/

\>\>\> Breve intervallo: ho anche pubblicato questo thread su Twitter, e poi è successo proprio in questa parte. Era... scomodo. \<\<\<

Torniamo alla questione principale. Ammetto che quando ho appreso di questa funzionalità, mi ha reso un po' triste. Il pensiero che mi passava per la testa era: questa sarà una tentazione troppo grande. Una volta che puoi esternalizzare “in sicurezza” le attività sul cloud, perché preoccuparsi di svolgerle localmente? Esternalizzare tutto! 16/

Per quanto ne so, Apple non ha piani espliciti per annunciare quando i tuoi dati verranno trasferiti dal dispositivo al calcolo privato. Non opterai per questo, non ti verrà nemmeno necessariamente detto che sta accadendo. Succederà e basta. Magicamente. Non amo quella parte. 17/

Infine, ci sono così tanti spigoli vivi invisibili che potrebbero esistere in un sistema come questo. Difetti hardware. Problemi con il framework di attenuazione crittografica. Exploit software intelligenti. Molti di questi saranno difficili da rilevare per i ricercatori di sicurezza. Anche questo mi preoccupa. 18/

Concludendo con una nota più positiva: vale la pena tenere presente che a volte la perfezione è nemica di ciò che è veramente buono. In pratica l'alternativa al dispositivo on-device è: spedire i dati privati ​​a OpenAI o da qualche parte in Sketchier, dove chissà cosa potrebbe accadergli. 19/

E, naturalmente, tieni presente che le super spie non sono il tuo più grande avversario. Per molte persone il tuo più grande avversario è l'azienda che ti ha venduto il tuo dispositivo/software. Questo sistema PCC rappresenta un vero e proprio impegno da parte di Apple a non “sbirciare” i vostri dati. Questo è un grosso problema. 20/

In ogni caso, questo è il mondo verso cui ci stiamo muovendo. Potrebbe sembrare che il tuo telefono sia in tasca, ma una parte di esso vive in un data center a 2.000 miglia di distanza. Come addetti alla sicurezza probabilmente dobbiamo abituarci a questo fatto e fare del nostro meglio per assicurarci che tutte le parti siano sicure. //fine

Addendum su twitter: “attenuazione crittografica” dovrebbe essere letto “attestazione crittografica”, ma sono sicuro che la gente capirà il punto.

Il thread completo inizia qui

Riforma dell'assetto del mercato elettrico: il Consiglio raggiunge un accordo

Oggi il Consiglio ha raggiunto un accordo (orientamento generale) su una proposta di modifica dell'assetto del mercato elettrico dell'UE (EMD) . Ciò consentirà alla presidenza del Consiglio di avviare i negoziati con il Parlamento europeo per raggiungere un accordo definitivo.

@energia

> Sono orgoglioso di affermare che oggi abbiamo compiuto un passo avanti strategico per il futuro dell’UE. Abbiamo raggiunto un accordo che sarebbe stato inimmaginabile solo un paio di anni fa. Grazie a questo accordo, i consumatori di tutta l’UE potranno beneficiare di prezzi dell’energia molto più stabili, di una minore dipendenza dal prezzo dei combustibili fossili e di una migliore protezione dalle crisi future. Accelereremo inoltre la diffusione delle energie rinnovabili, una fonte di energia più economica e pulita per i nostri cittadini. > > Teresa Ribera Rodríguez, terza vicepresidente ad interim del governo spagnolo e ministra per la transizione ecologica e la sfida demografica > >

10 anni dopo Snowden: alcune cose vanno meglio, per altre stiamo ancora lottando

@pirati

Il 20 maggio 2013, un giovane appaltatore del governo con un adesivo EFF sul suo laptop è sbarcato da un aereo a Hong Kong portando con sé prove che confermavano, tra le altre cose, che il governo degli Stati Uniti stava conducendo una sorveglianza di massa su scala globale. Ciò che è seguito sono state settimane di rivelazioni - e declassificazioni ufficiali - mentre Edward Snowden ha lavorato con alcune delle principali testate giornalistiche del mondo per rivelare fatti critici sulla National Security Agency che aspirava le comunicazioni online delle persone, l'attività su Internet e i tabulati telefonici, sia all'interno che all'esterno gli Stati Uniti....

DI MATTHEW GUARIGLIA , CINDY COHN E ANDREW CROCKER PER EFF

La Corte Suprema mantiene giustamente protezioni critiche per la responsabilità sulla libertà di espressione su Internet

@pirati

Oggi, la Corte Suprema degli Stati Uniti si è pronunciata in due casi storici incentrati sulla protezione della responsabilità critica per i servizi online, nota come Sezione 230.  In Gonzalez v. Google e Twitter, Inc., v. Taamneh , la Corte Suprema ha lasciato intatta la Sezione 230 del Communications Decency Act del 1996.

> "Questa è una grande vittoria per la libertà di espressione su Internet", ha affermato Chris Marchese, direttore del Centro per il contenzioso di NetChoice. "Alla Corte è stato chiesto di indebolire la Sezione 230 e ha rifiutato".

Marchese ha continuato:

> “Con miliardi di contenuti aggiunti a Internet ogni giorno, la moderazione dei contenuti è uno strumento imperfetto, ma vitale, per mantenere gli utenti al sicuro e il funzionamento di Internet. Le decisioni della Corte Suprema proteggono la libertà di parola online mantenendo la Sezione 230 ”.

"Anche con i migliori sistemi di moderazione disponibili, un servizio come Twitter da solo non può controllare ogni singolo contenuto generato dall'utente con una precisione del 100%. Imporre la responsabilità a tali servizi per contenuti dannosi che cadono involontariamente attraverso il crack li avrebbe disincentivati ​​dall'ospitare qualsiasi contenuto generato dagli utenti.

In Twitter v. Taamneh , la Corte in un'opinione scritta dal giudice Clarence Thomas si è pronunciata all'unanimità a favore di Twitter.

NetChoice attende con impazienza che la Corte Suprema conceda la revisione dei nostri due casi pendenti, NetChoice & CCIA v. Paxton e NetChoice & CCIA v. Moody.

Il post di Krista Chávez è stato pubblicato da #NetChoice

Legge sui dati - Per la Commissione Europea le garanzie sui segreti commerciali devono essere un'eccezione, non una regola

@pirati

Una nota interna vista da EURACTIV questa settimana mostra che la Commissione Europea è disposta ad aggiungere un meccanismo per la protezione dei segreti commerciali al Data Act, a condizione che rimanga un'eccezione piuttosto che la regola, che sia in linea con la direttiva sui segreti commerciali, e che non comporti un onere eccessivo per le PMI.

La mobilitazione della scorsa settimana di giganti dell'industria tedesca come Siemens e SAP sembra aver fatto scalpore nell'esecutivo dell'UE, non sorprende, dal momento che la presidente Ursula von der Leyen è stata costantemente sensibile alle esigenze del suo paese d'origine.

La Commissione è stata molto attiva nei negoziati della nuova legge sui dati, compensando in parte la mancanza di leadership della presidenza svedese. Sebbene il trilogo della prossima settimana sia destinato solo a chiudere il capitolo della condivisione dei dati B2G, laddove il Consiglio non desidera limitare l'ambito di applicazione ai soli dati personali, mercoledì la presidenza ha dichiarato al COREPER che intende ancora chiudere il fascicolo prima della fine del suo semestre e nessuno Stato membro ha indicato linee rosse. Nel frattempo, la Commissione deve ancora presentare un documento informale con un compromesso su come affrontare la questione dei segreti commerciali.

L'articolo completo di @bertuzluca per #Euractiv

Pluralistic: come Amazon rende tutto ciò che acquisti più costoso, indipendentemente da dove lo acquisti. Di Cory Doctorow

@pirati

Amazon è molto orgogliosa del suo "volano": all'inizio l'azienda offriva sussidi ai clienti, che attiravano i venditori. Quindi, ha chiesto a quei venditori di abbassare i prezzi, il che ha attirato più clienti. Con più clienti, più venditori si accumulano. Sempre più veloce, il volano gira, creando il "negozio di tutto".

> \> Dovremmo fare di tutto per smussare il potere dei monopolisti, inclusa Amazon: rotture, regole di concorrenza, sindacalizzazione, boicottaggi organizzati, azioni legali... tutto. Loro hanno i soldi, ma noi abbiamo le persone, perché ora che Amazon è entrata nella fase finale dell'enshittificazione, sta finendo gli amici. Quando la piattaforma ritira il suo favore da acquirenti, venditori e lavoratori, chi resta a difenderla? Separatamente, nessun gruppo di parti interessate di Amazon non può tenerne conto, ma quando ci uniamo tutti insieme, possiamo distruggere il potere dell'azienda, per sempre.

Il post di @doctorow prosegue a questo link

La presidenza del Consiglio svedese presenta la prima riscrittura completa del Cyber ​​Resilience Act

@pirati

Il Consiglio dell'UE, che rappresenta i 27 Stati membri, si sta muovendo verso il taglio dei prodotti critici e la riduzione della discrezionalità della Commissione europea nella nuova legge sulla sicurezza informatica, secondo un nuovo testo visto da EURACTIV.

> Da quando la presidenza svedese del Consiglio dei ministri dell'UE ha preso in mano il fascicolo a gennaio, ha presentato tre compromessi parziali sulla proposta di introdurre requisiti di sicurezza di base per i prodotti con elementi digitali. > > Gli svedesi hanno rielaborato l'intero testo sfruttando la pausa pasquale, consolidando le modifiche precedenti e introducendone di nuove. Il nuovo compromesso, datato 20 aprile, sarà discusso il 26 aprile in occasione del gruppo di lavoro orizzontale sulle questioni informatiche.

L'articolo di @bertuzluca , pubblicato su @euractiv\_tech , prosegue a questo link

Europol confessa la strategia su conservazione dei dati e indebolimento della crittografia: un gruppo di esperti presenterà proposte per espandere la sorveglianza entro la metà del 2024.

@pirati

Su richiesta dell'eurodeputato Patrick Breyer , Europol ha pubblicato documenti che dimostrano che un gruppo di esperti di nuova costituzione dovrà elaborare proposte sui temi della conservazione dei dati, della crittografia e dell'anonimato entro la metà del 2024. Tra le altre cose, l'attenzione è rivolta all'accesso ai dati di comunicazione crittografati, ai dati sulla posizione e ai dati IP dei cittadini.

L'eurodeputato dott. Patrick @echo\_pbreyer (Pirata Party/Verdi/ALE) commenta:

> \> “Il programma 'Going Dark' è una fucina per ulteriori inutili tentativi di aumentare la pressione della sorveglianza contro la popolazione. I governi dell'UE hanno continuato a non rispettare le sentenze della Corte di giustizia dell'UE sulla conservazione dei dati. Ora un gruppo di esperti deve escogitare proposte, ad esempio per indebolire la #crittografia. Ci verranno presentati risultati prestabiliti e nuovi progetti di legge come risultato di un processo del tutto poco trasparente e squilibrato".

\#GoingDark #Europol

www.patrick-breyer.de/en/data-…

QUANDO LE SUFFRAGETTE VENDEVANO GIOCHI DA TAVOLO DIMOSTRANDO DI ESSERE TRA LE PRIME A CAPIRNE IL POTENZIALE POLITICO ----------

@gdr

Ben prima della Guerra fredda e di entrambe le guerre mondiali, nel Regno Unito c’era già un gruppo che disegnava e vendeva giochi da tavolo, sia per diffondere i propri obiettivi politici sia per finanziare le proprie attività: le suffragette, ovvero le donne che lottavano per l’emancipazione femminile e la conquista del diritto di voto.

L'articolo di @violastefanello su @ilpost@mastodon.uno è disponibile a questo link