Apple e Google stanno collaborando per supportare le app di tracing via Bluetooth. Il protocollo è aperto e lascia spazio agli sviluppatori delle app, sia su come interagire con gli utenti, sia sulla memorizzazione dei dati. Mi pare un’occasione importante da sfruttare per fare qualcosa di innovativo e di dotarsi di infrastrutture pubbliche per la raccolta e l’elaborazione dei dati. An interesting aspect of the #covid19 Tracing protocol, is that it includes a call-back to determine the risk of infection. This opens a great opportunity for AI solutions, that the epidemiologists of the Healthcare service can tune, to avoid false positives. Qui le specifiche: https://www.apple.com/covid19/contacttracing/ — Beppe
On 10 Apr 2020, at 23:55, nexa-request@server-nexa.polito.it wrote:
Send nexa mailing list submissions to nexa@server-nexa.polito.it
To subscribe or unsubscribe via the World Wide Web, visit https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa or, via email, send a message with subject or body 'help' to nexa-request@server-nexa.polito.it
You can reach the person managing the list at nexa-owner@server-nexa.polito.it
When replying, please edit your Subject line so it is more specific than "Re: Contents of nexa digest..."
Today's Topics:
1. Re: Problematiche del tracciamento dei contatti: non dobbiamo scegliere tra privacy e salute (Stefano Quintarelli) 2. Re: Problematiche del tracciamento dei contatti: non dobbiamo scegliere tra privacy e salute (Enrico Nardelli) 3. aggiornamento sul protocollo DP-3T per il tracciamento dei contatti (Enrico Nardelli) 4. Re: aggiornamento sul protocollo DP-3T per il tracciamento dei contatti (Roberto Dolci) 5. Re: Problematiche del tracciamento dei contatti: non dobbiamo scegliere tra privacy e salute (Giacomo Tesio)
----------------------------------------------------------------------
Message: 1 Date: Fri, 10 Apr 2020 19:59:55 +0200 From: Stefano Quintarelli <stefano@quintarelli.it> To: Enrico Nardelli <nardelli@mat.uniroma2.it>, Nexa <nexa@server-nexa.polito.it> Subject: Re: [nexa] Problematiche del tracciamento dei contatti: non dobbiamo scegliere tra privacy e salute Message-ID: <7f1e8dd6-61b6-36ea-0555-403c06f504c1@quintarelli.it> Content-Type: text/plain; charset=windows-1252; format=flowed
I stand my point. ogni tecnologia ha vulnerabilita, passata questa, se ne trovera' un'altra.
cio' non ci impedisce di usare strumenti elettronici. ed i vantgagi outscale gli svantaggi e il rapporto benefici/rischi e estremamnete in vantaggio dei benefici
BTW, anche un sistema basato su carta ha delle vulnerabilita'.
ciao, s.
On 10/04/2020 18:02, Enrico Nardelli wrote: Grazie Stefano per l'articolata risposta.
Ero consapevole (e l'avevo anche citato nel post) che il Garante della Privacy aveva osservato che l'adesione doveva essere volontaria, ma come lui stesso ha osservato serve avere almeno il 60% dei cittadini che la usano e quindi quel "pretendere" non era inteso in senso legale ma come "prerequisito" per il funzionamento del tutto.
È vero, come osservi, che tutti i software sono in qualche modo bacati (chi più chi meno) ma appoggiare, per questa situazione di emergenza sanitaria, una soluzione di massa (che ha comunque bisogno per funzionare di tutta di una serie di misure di contorno - come hanno osservato lo stesso Garante e le varie organizzazioni internazionali citate alla fine del mio post) su una tecnologia che ha dimostrato nel corso degli anni di non avere le spalle robuste rispetto alla sicurezza mi sembra una scelta che, anche se "tecnicamente" interessante, sia da rigettare dal punto di vista sociale e politico.
Per quanto riguarda Bluetooth questa descritta qua
https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-c...
è una vulnerabilità che permette ad un attaccante di entrare, installare malware e rubare dati. Basta conoscere semplicemente il Bluetooth MAC address per ottenere l'accesso al dispositivo
Certo, è stata sistemata con una release di Android di Febbraio 2020, ma vogliamo davvero poggiare la privacy dei cittadini sulla certezza che hanno tutti aggiornato il proprio smartphone???
Buona Pasqua anche a te!
Ciao, Enrico
Il 10/04/2020 16:23, Stefano Quintarelli ha scritto:
Ciao Enrico,
tu scrivi:
"Pretendere però che tutti i cittadini vadano in giro con il Bluetooth (o altra tecnologia) costantemente disponibile per comunicare è secondo me equivalente a chiedere loro di non chiudere a chiave la porta di casa perchè deve passare il dottore per una visita medica. Nel mondo reale equivarrebbe ad esporre le case di tutti i cittadini ad un elevato rischio di intrusione. "
premesso che il garante dice che dovrebbe essere opt-in, la stessa "pretesa" nei confronti di quelle persone che decidono di installarsi un'app che usa il bluetooth la hanno anche, nei confronti di quelle persone che decidono di usare auricolari bluetooth, i produttori di tali auricolari... alla fine e' la persona che decide...
al link sulle /forti vulnerabilita'/ che inserisci nell'articolo si elencano tutte vulnerabilita' (tranne una) che generano DOS, non che consentono l'accesso. Quindi, la analogia piu' precisa, non sarebbe "esporre le case di tutti i cittadini ad un elevato rischio di intrusione." ma "esporre le case di tutti i cittadini [che decidono di farlo] al rischio di ricevere un carico di letame sul vialetto di accesso"... ;-)
per quell'uno ("tranne una") si dice anche che "Some of the affected products include the 2018 smartwatch lineup from FitBit, Eve Systems smart home products, the CubiTag Bluetooth tracker, and the eGee Touch smart luggage lock."
ciao, s.
p.s. l'articolo originale del ricercatore e' questo https://asset-group.github.io/disclosures/sweyntooth/
giustamente scrivi che "come da molto tempo è noto", questa famiglia di vulenrabilita', disclosed a settembre 2019, ha gia' avuto molte patch da parte dei produttori dei chip coinvolti.
in particolare, il bug che consente di intrudere, avviene durante una oeprazione di "secure pairing" (che tanto secure non è). Ovvero, se non fai pairing non sei esposto. Quindi, volendo rimanere all'analogia', sarebbe come chiedere di fare entrare in casa un infermiere salvo poi scoprire che era un malfattore e l'ambulanza davanti a casa era finta. Ma nessuna delle app in questione chiede di fare entrare alcunchi, nemmeno un dottore. Rectius, di fare qualsiasi pairing, nemmeno secure.
poi, che l'informatica produca uno sterminio di vulnerabilita', non credo sorprenda nessuno in questa lista. Io uso come client di email Thunderbird (che credo usi anche tu), che ha 980 vulnerabilita' segnalate... https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overvi...
Buona Pasqua!
On 10/04/2020 14:29, Enrico Nardelli wrote:
Alcune riflessioni sull'impatto delle soluzioni digitali di tracciamento dei contatti che secondo me vengono trascurate. https://link-and-think.blogspot.com/2020/04/problematiche-del-tracciamento-d...
Ogni commento è benvenuto.
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ =====================================================================
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ =====================================================================
-- reserve your meeting with me at https://cal.quintarelli.it
------------------------------
Message: 2 Date: Fri, 10 Apr 2020 20:23:02 +0200 From: Enrico Nardelli <nardelli@mat.uniroma2.it> To: Stefano Quintarelli <stefano@quintarelli.it>, Nexa <nexa@server-nexa.polito.it> Subject: Re: [nexa] Problematiche del tracciamento dei contatti: non dobbiamo scegliere tra privacy e salute Message-ID: <96557a52-fba0-7dc2-e8b7-eb1440d77a30@mat.uniroma2.it> Content-Type: text/plain; charset=utf-8; format=flowed
metoo... :-)
ciao, enrico
Il 10/04/2020 19:59, Stefano Quintarelli ha scritto:
I stand my point. ogni tecnologia ha vulnerabilita, passata questa, se ne trovera' un'altra.
cio' non ci impedisce di usare strumenti elettronici. ed i vantgagi outscale gli svantaggi e il rapporto benefici/rischi e estremamnete in vantaggio dei benefici
BTW, anche un sistema basato su carta ha delle vulnerabilita'.
ciao, s.
On 10/04/2020 18:02, Enrico Nardelli wrote: Grazie Stefano per l'articolata risposta.
Ero consapevole (e l'avevo anche citato nel post) che il Garante della Privacy aveva osservato che l'adesione doveva essere volontaria, ma come lui stesso ha osservato serve avere almeno il 60% dei cittadini che la usano e quindi quel "pretendere" non era inteso in senso legale ma come "prerequisito" per il funzionamento del tutto.
È vero, come osservi, che tutti i software sono in qualche modo bacati (chi più chi meno) ma appoggiare, per questa situazione di emergenza sanitaria, una soluzione di massa (che ha comunque bisogno per funzionare di tutta di una serie di misure di contorno - come hanno osservato lo stesso Garante e le varie organizzazioni internazionali citate alla fine del mio post) su una tecnologia che ha dimostrato nel corso degli anni di non avere le spalle robuste rispetto alla sicurezza mi sembra una scelta che, anche se "tecnicamente" interessante, sia da rigettare dal punto di vista sociale e politico.
Per quanto riguarda Bluetooth questa descritta qua https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-c... è una vulnerabilità che permette ad un attaccante di entrare, installare malware e rubare dati. Basta conoscere semplicemente il Bluetooth MAC address per ottenere l'accesso al dispositivo
Certo, è stata sistemata con una release di Android di Febbraio 2020, ma vogliamo davvero poggiare la privacy dei cittadini sulla certezza che hanno tutti aggiornato il proprio smartphone???
Buona Pasqua anche a te!
Ciao, Enrico
Il 10/04/2020 16:23, Stefano Quintarelli ha scritto:
Ciao Enrico,
tu scrivi:
"Pretendere però che tutti i cittadini vadano in giro con il Bluetooth (o altra tecnologia) costantemente disponibile per comunicare è secondo me equivalente a chiedere loro di non chiudere a chiave la porta di casa perchè deve passare il dottore per una visita medica. Nel mondo reale equivarrebbe ad esporre le case di tutti i cittadini ad un elevato rischio di intrusione. "
premesso che il garante dice che dovrebbe essere opt-in, la stessa "pretesa" nei confronti di quelle persone che decidono di installarsi un'app che usa il bluetooth la hanno anche, nei confronti di quelle persone che decidono di usare auricolari bluetooth, i produttori di tali auricolari... alla fine e' la persona che decide...
al link sulle /forti vulnerabilita'/ che inserisci nell'articolo si elencano tutte vulnerabilita' (tranne una) che generano DOS, non che consentono l'accesso. Quindi, la analogia piu' precisa, non sarebbe "esporre le case di tutti i cittadini ad un elevato rischio di intrusione." ma "esporre le case di tutti i cittadini [che decidono di farlo] al rischio di ricevere un carico di letame sul vialetto di accesso"... ;-)
per quell'uno ("tranne una") si dice anche che "Some of the affected products include the 2018 smartwatch lineup from FitBit, Eve Systems smart home products, the CubiTag Bluetooth tracker, and the eGee Touch smart luggage lock."
ciao, s.
p.s. l'articolo originale del ricercatore e' questo https://asset-group.github.io/disclosures/sweyntooth/
giustamente scrivi che "come da molto tempo è noto", questa famiglia di vulenrabilita', disclosed a settembre 2019, ha gia' avuto molte patch da parte dei produttori dei chip coinvolti.
in particolare, il bug che consente di intrudere, avviene durante una oeprazione di "secure pairing" (che tanto secure non è). Ovvero, se non fai pairing non sei esposto. Quindi, volendo rimanere all'analogia', sarebbe come chiedere di fare entrare in casa un infermiere salvo poi scoprire che era un malfattore e l'ambulanza davanti a casa era finta. Ma nessuna delle app in questione chiede di fare entrare alcunchi, nemmeno un dottore. Rectius, di fare qualsiasi pairing, nemmeno secure.
poi, che l'informatica produca uno sterminio di vulnerabilita', non credo sorprenda nessuno in questa lista. Io uso come client di email Thunderbird (che credo usi anche tu), che ha 980 vulnerabilita' segnalate... https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overvi...
Buona Pasqua!
On 10/04/2020 14:29, Enrico Nardelli wrote:
Alcune riflessioni sull'impatto delle soluzioni digitali di tracciamento dei contatti che secondo me vengono trascurate. https://link-and-think.blogspot.com/2020/04/problematiche-del-tracciamento-d...
Ogni commento è benvenuto.
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ =====================================================================
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ =====================================================================
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --
------------------------------
Message: 3 Date: Fri, 10 Apr 2020 20:25:31 +0200 From: Enrico Nardelli <nardelli@mat.uniroma2.it> To: Nexa <nexa@server-nexa.polito.it> Subject: [nexa] aggiornamento sul protocollo DP-3T per il tracciamento dei contatti Message-ID: <aac36e5b-1351-ed40-b624-2dab004b29a0@mat.uniroma2.it> Content-Type: text/plain; charset=utf-8; format=flowed
https://link-and-think.blogspot.com/2020/04/come-funziona-la-nuova-versione-...
Grazie in anticipo per ogni commento.
PS Versione in inglese in lavorazione...
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --
------------------------------
Message: 4 Date: Fri, 10 Apr 2020 19:09:13 +0000 From: Roberto Dolci <rob.dolci@aizoon.us> To: Enrico Nardelli <nardelli@mat.uniroma2.it>, Nexa <nexa@server-nexa.polito.it> Subject: Re: [nexa] aggiornamento sul protocollo DP-3T per il tracciamento dei contatti Message-ID: <b2badaa5039a409ba43ebf57908eafaa@SRVEX03.aizoon.local> Content-Type: text/plain; charset="utf-8"
Certo che dare tutti i propri dati in pasto ad Apple e Google per evitare il virus...quasi quasi...uno ci pensa due volte https://www.lastampa.it/tecnologia/news/2020/04/10/news/apple-e-google-insie...
-----Original Message----- From: nexa <nexa-bounces@server-nexa.polito.it> On Behalf Of Enrico Nardelli Sent: Friday, April 10, 2020 2:26 PM To: Nexa <nexa@server-nexa.polito.it> Subject: [nexa] aggiornamento sul protocollo DP-3T per il tracciamento dei contatti
https://link-and-think.blogspot.com/2020/04/come-funziona-la-nuova-versione-...
Grazie in anticipo per ogni commento.
PS Versione in inglese in lavorazione...
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== -- _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
------------------------------
Message: 5 Date: Fri, 10 Apr 2020 23:55:05 +0200 From: Giacomo Tesio <giacomo@tesio.it> To: Stefano Quintarelli <stefano@quintarelli.it> Cc: Nexa <nexa@server-nexa.polito.it> Subject: Re: [nexa] Problematiche del tracciamento dei contatti: non dobbiamo scegliere tra privacy e salute Message-ID: <CAHL7psEOhuxVJjqURezJQVLEES7nd0QPOWS73cvi0aJ3SOADqQ@mail.gmail.com> Content-Type: text/plain; charset="utf-8"
Una delle prime cose che cerco di insegnare ai colleghi più giovani e quando NON usare gli strumenti di cui dispongono.
Bisogna partire presto, perché è difficile. Chi da usare solo martelli, vede chiodi dappertutto.
On Friday, 10 April 2020, Stefano Quintarelli <stefano@quintarelli.it> wrote: ed i vantgagi outscale gli svantaggi e il rapporto benefici/rischi e estremamnete in vantaggio dei benefici
Ti dispiacerebbe elencare esplicitamente vantaggi e svantaggi che stai prendendo in considerazione? E rischi e benefici?
A parte il fatto che non funzionerebbe, intendo... :-D
BTW, anche un sistema basato su carta ha delle vulnerabilita'.
Certamente.
Ma riprodotte su scala diversa. E con menti umane capaci di minimizzarne rischi e danni.
Un software invece fa sempre la stessa cosa. Spesso sbagliata.
Ed è vero, questo non impedisce il loro utilizzo. D'altronde quanti tetti di amianto abbiamo ancora in giro? Funzionano, giusto?
Giacomo