Re: [nexa] Dati della PA nei cloud [era Re: Is AI just 'Capital's Willing Executioner'?]

2023-05-10 Thread 380° 
Ciao Davide,

"D. Davide Lamanna"  writes:

[...]

>>> Negli ultimi anni si sono fatti passi avanti importanti nel campo
>>> dell'Homomorphic Encryption [1].
>> AFAIU quella fa la crittazione dei dati, non dei metadati, sbaglio?
>
> Puoi cifrare quel che vuoi, dati, metadati, non ci sono limiti. Perché 
> dovrebbero esserci del resto? Il problema semmai è far funzionare gli 
> handshake protocollari con questo tipo di cifratura.

OK ho capito grazie, quindi sostanzialmente occorrerebbe riscrivere il
protocollo IP (o SMTP, DNS, ecc.) affiché sia in grado di usare la HE
(che come dici tu ha un grosso overhead)

Se non mi sfugge qualcosa, dal punto di vista architetturale preferisco
l'approccio usato da GNUnet (cover traffic) [1], che funziona (anche)
/sopra/ al protocollo IP così com'è (può essere pensata come una specie
di overlay net)

[...]

>> Domanda: ma è proprio necessario consentire che i dati siano oggetto di
>> computazione "nel cloud" (cioè sul computer di qualcun altro)?
>
> No, non è necessario. E' solo una possibilità in più che la HE potrebbe 
> rendere possibile: usare Public Cloud senza essere visti dai
> proprietari.

scusa se puntualizzo ma tecnicamente si tratta di usare la CPU
(computazione) in una Public Cloud senza che input e output siano
"interpretabili" dai proprietari

...e però dal punto di vista sistemistico avendo accesso all'hardware si
possono fare così Tante Cose™ che dubito seriamente che un proprietario
sufficientemente motivato non sia in grado di leggere i bit in chiaro.

> Io mi sono appassionato alla materia nell'ambito del mio dottorato di 
> ricerca. Posto che sono comunque un promotore di Private Cloud.

Campo nel quale la _motivata_ fiducia è fondamentale

>> Io in alternativa ho una modesta proposta: crittografia dei dati nello
>> storage (remoto o locale), computazione dei dati nella CPU
>> locale... intanto che aspettiamo la Homomorphic Encryption :-D
>
> Questa è sempre la strada maestra.

e anche più sicura

[...]

>>> Si possono implementare Mail Server che offrono persino funzioni di
>>> ricerca con HE [2],
>> Che non riusciranno _mai_ a battere le performance di ricerca locale, ad
>> esempio usando xapian [1] per le email via notmuch [2] o per i documenti
>> via Recoll [3]
>
> Poco ma sicuro. Senza contare che la cifratura omomorfica dà luogo a 
> overhead prestazionali mastodontici rispetto alla cifratura standard.

è questo che a mio avviso la rende inadatta allo scopo: già /rifare/ i
protocolli di rete usando la cifratura standard comporta un calo di
"prestazioni", non credo sia il caso di appesantire ulteriormente

[...]

>> ...e comunque perché funzionino servono i metadati in chiaro, o no?
>
> Dipende da come implementi i protocolli. La HE ti dà la possibilità di 
> fare operazioni su dati cifrati il cui risultato è il cifrato del 
> risultato che avresti avuto eseguendo quelle stesse operazioni sul dato 
> in chiaro. Teoricamente ci puoi fare quello che vuoi.

OK chiaro, ciò significa quello che abbiamo detto sopra: comunque i
protocolli di comunicazione andrebbero rifatti e in questo caso si
possono ottenere ottimi risultati evitando l'overhead della HE

[...]

>> Ad oggi ci sono implementazioni del
>> protocollo APART (Anonymous Proactive Ad hoc RouTing)?
>
> Non saprei. Penso che si tratti comunque ancora di sperimentazione.

Grazie, io ho fatto alcune ricerche sul web ma mi pare che questi
strumenti siano rimasti a livello (sub)prototipale

[...]

>>> (l'applicazione Signal ne usa uno per impedire la disclosure del
>>> mittente a livello di router).
>> Non sapevo di questa cosa: hai dettagli per favore?
>>
>> Ti riferisci forse alla funzione "sealed sender" introdotta nel 2018?
>> Perché se così fosse, faccio umilmente notare che:

[...]

> Sì, mi riferisco a quella e sì, conosco i passaggi che hai riportato. 
> Rimane interessante, a mio avviso, che Signal abbia introdotto la 
> tecnologia in produzione, nei suoi sforzi di essere Privacy
> preserving.

Sì giusto, si tratta solo di capire fino a che livello sono in grado di
preservare la privacy: loro (Signal) e alcune potentissime agenzie senza
dubbio hanno tutti i metadati _e_ fanno analisi del traffico di quel
protocollo.

[...]

>> immagina chi fa wiretapping, puoi :-)
>>
>> mi spiace ma non c'è proprio nessuno scampo a quanto faccia tecnicamente
>> schifo Internet
>
> Mi sa che hai ragione.
>
> Ogni tentativo di spingere all'estremo l'anonimato in rete va comunque 
> apprezzato, secondo me.

Sì sì, assolutamente sì.

Solo che io sono _estremamente_ triste nell'osservare che le poche
risorse che si dedicano a questo compito si disperdono in
progetti... poco coerenti con lo status quo

[...]

Grazie, 380°



[1] https://docs.gnunet.org/about.html#anonymity

-- 
380° (Giovanni Biscuolo public alter ego)

«Noi, incompetenti come siamo,
 non abbiamo alcun titolo per suggerire alcunché»

Disinformation flourishes because many people care deeply about injustice
but very few check the facts.  Ask me

[nexa] The lawyer whose sex trafficking case against Instagram could spell trouble for big tech | Global development | The Guardian

2023-05-10 Thread Alberto Cammozzo via nexa 



On 14 March 2022, Annie McAdams, a personal injury lawyer running a small firm 
in Houston, Texas, filed a civil action suit on behalf of one of her clients. 
The plaintiff was a 23-year-old woman, who had endured years of sexual 
exploitation at the hands of a convicted trafficker. The defendant was one of 
the most powerful technology companies in the world.

Contained within McAdams’s federal suit was a series of allegations that Meta – 
the owner of Facebook and Instagram, which are used by more than 3 billion 
people every day – had knowingly created a breeding ground for human 
trafficking and was actively facilitating the buying and selling of people for 
sex online.

The lawsuit alleges that the company’s products – particularly Instagram – 
connects vulnerable victims with human traffickers and sex buyers, and provides 
traffickers with the means to groom those victims. It says that human 
trafficking victims are regularly posted on Instagram and sold for sex against 
their will and claims that the company has failed to take adequate steps to 
stop this.

In the court documents, the plaintiff – who we are calling Shawna – says she 
was 18 when she was first contacted on Instagram by a man she didn’t know. She 
claims that the man – referred to as RL in the court papers – sent her messages 
on her public profile and on Instagram’s direct-messaging service and that this 
campaign of grooming led to her agreeing to meet him in person. Two days after 
their first meeting, she claims that RL began to sell her to sex buyers on 
Instagram.

She claims that RL posted explicit pictures of her on Instagram along with 
emojis such as dollar signs, crowns and roses, widely recognised by law 
enforcement and trafficking experts as indicators of commercial sex adverts.

“[Meta Inc] knew that the use of these codes were blatant red flags … and were 
actually sex trafficking advertisements designed to sell her for sex, but 
[Meta] did nothing to remove or prevent those repeated posts, despite having 
the ability to do so,” the court papers say.

Shawna alleges that over the course of a year she was sold on Instagram to 
multiple sex buyers. She says she was threatened with homelessness or violence 
by RL if she refused to fulfil her “quota” of sex acts.

She went on to testify against RL in a federal criminal trial in Texas and he 
was subsequently sentenced to 40 years for sex trafficking.

However, the lawsuit claims that at the time it was filed to the court in 
Houston, Instagram had not removed the trafficker’s Instagram account.

McAdams claims that despite repeated attempts by Meta to get the case 
dismissed, Shawna, who is seeking damages from the company, is now on the brink 
of taking her civil claim against Meta further through the US court system than 
any other case has managed. She believes that there are now no serious legal 
obstacles between her case and bringing Meta before a jury in 2024 to face 
allegations that it played an integral role in the trafficking of her client.

A spokesperson for Meta said that Meta prohibits sex trafficking on its 
platforms “in no uncertain terms … we vigorously deny the claims made against 
Meta in this suit.”

It is not the first time that Meta – in either of its guises as Meta Platforms 
Inc or Facebook Inc – has faced lawsuits containing similar allegations. Yet in 
the two decades since it was launched by Mark Zuckerberg from a Harvard dorm, 
his company – which rebranded from Facebook to Meta in 2021 – like other 
technology companies with servers based in the US, has never faced prosecution 
for illegal and harmful content and activities on its platforms.

For decades, social media companies have sheltered behind an obscure clause in 
the 1996 Communications Decency Act – called section 230, which concludes that 
technology companies are not legally responsible for crimes that occur on their 
platforms. Section 230 states that providers of “interactive computer services” 
– which includes the owners of social media platforms and website hosts – 
should not be treated as the publisher of material posted by users.


Since the act was passed, tech companies such as Meta have argued successfully 
in US courts that section 230 provides them with immunity from prosecution for 
any illegal content published on their platforms, as long as they are unaware 
of that content’s existence, building a fortress of legal precedent.

Section 230 does not shield online platforms from federal criminal charges if 
they are seen as responsible for facilitating trafficking. And a recent 
amendment to section 230 – known as the Fosta-Sesta package – means that 
companies can be held liable under state and civil laws but must be shown to 
have knowingly assisted or facilitated sex trafficking.

Other cases have attempted to swerve section 2

Re: [nexa] Dati della PA nei cloud [era Re: Is AI just 'Capital's Willing Executioner'?]

2023-05-10 Thread Giacomo Tesio 
Ciao Davide e 380,

On Wed, May 10, 2023 at 02:20:48PM +0200, 380° wrote:
> 
> >> Domanda: ma è proprio necessario consentire che i dati siano oggetto di
> >> computazione "nel cloud" (cioè sul computer di qualcun altro)?
> >
> > No, non è necessario. E' solo una possibilità in più che la HE potrebbe 
> > rendere possibile: usare Public Cloud senza essere visti dai
> > proprietari.
> 
> scusa se puntualizzo ma tecnicamente si tratta di usare la CPU
> (computazione) in una Public Cloud senza che input e output siano
> "interpretabili" dai proprietari
> 
> ...e però dal punto di vista sistemistico avendo accesso all'hardware si
> possono fare così Tante Cose™ che dubito seriamente che un proprietario
> sufficientemente motivato non sia in grado di leggere i bit in chiaro.

banalmente, la Homomorphic Encryption temo resterà sempre fortemente
vulnerabile a timing attack.

Un ipotetico fornitore cloud che abbia accesso alla chiave PUBBLICA
di cifratura (NB: non quella privata, basta quella pubblica) può
cifrare una elaborazione arbitraria e applicarla ai dati cifrati
ottenendo un risultato anch'esso cifrato.

Il bello della FHE è che tale avversario non può decifrare il risultato
senza la chiave privata.

Tuttavia, nulla gli impedisce di cifrare un elaborazione che è
estremamente lenta se il primo bit del testo cifrato è 1 ed estremamente
veloce se è 0.

Applicando tale elaborazione cifrata e misurando i tempi di risposta può
dedurre il valore del primo bit del testo in chiaro.

Ho un vaghissimo ricordo di una tecnica simile presentata l'anno scorso
ma non ritrovo l'articolo accademico che ne parlava.


Giacomo

___
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

Re: [nexa] Dati della PA nei cloud [era Re: Is AI just 'Capital's Willing Executioner'?]

2023-05-10 Thread Giacomo Tesio 
On Wed, May 10, 2023 at 04:56:19PM +0200, Giacomo Tesio wrote:
> 
> Ho un vaghissimo ricordo di una tecnica simile presentata l'anno scorso
> ma non ritrovo l'articolo accademico che ne parlava.

era questo: https://eprint.iacr.org/2022/204.pdf
(ovviamente non potevo che trovarlo DOPO aver risposto... scusate)


Giacomo

___
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa