Apple e Google stanno collaborando per supportare le app di tracing via Bluetooth.
Il protocollo è aperto e lascia spazio agli sviluppatori delle app, sia su come interagire con gli utenti, sia sulla memorizzazione dei dati.
Mi pare un’occasione importante da sfruttare per fare qualcosa di innovativo e di dotarsi di infrastrutture pubbliche per la raccolta e l’elaborazione dei dati.

An interesting aspect of the #covid19 Tracing protocol, is that it includes a call-back to determine the risk of infection.
This opens a great opportunity for AI solutions, that the epidemiologists of the Healthcare service can tune, to avoid false positives.

Qui le specifiche:
https://www.apple.com/covid19/contacttracing/

— Beppe

On 10 Apr 2020, at 23:55, nexa-request@server-nexa.polito.it wrote:

Send nexa mailing list submissions to
   nexa@server-nexa.polito.it

To subscribe or unsubscribe via the World Wide Web, visit
   https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
or, via email, send a message with subject or body 'help' to
   nexa-request@server-nexa.polito.it

You can reach the person managing the list at
   nexa-owner@server-nexa.polito.it

When replying, please edit your Subject line so it is more specific
than "Re: Contents of nexa digest..."


Today's Topics:

  1. Re: Problematiche del tracciamento dei contatti: non dobbiamo
     scegliere tra privacy e salute (Stefano Quintarelli)
  2. Re: Problematiche del tracciamento dei contatti: non dobbiamo
     scegliere tra privacy e salute (Enrico Nardelli)
  3. aggiornamento sul protocollo DP-3T per il tracciamento dei
     contatti (Enrico Nardelli)
  4. Re: aggiornamento sul protocollo DP-3T per il tracciamento
     dei    contatti (Roberto Dolci)
  5. Re: Problematiche del tracciamento dei contatti: non dobbiamo
     scegliere tra privacy e salute (Giacomo Tesio)


----------------------------------------------------------------------

Message: 1
Date: Fri, 10 Apr 2020 19:59:55 +0200
From: Stefano Quintarelli <stefano@quintarelli.it>
To: Enrico Nardelli <nardelli@mat.uniroma2.it>, Nexa
   <nexa@server-nexa.polito.it>
Subject: Re: [nexa] Problematiche del tracciamento dei contatti: non
   dobbiamo scegliere tra privacy e salute
Message-ID: <7f1e8dd6-61b6-36ea-0555-403c06f504c1@quintarelli.it>
Content-Type: text/plain; charset=windows-1252; format=flowed

I stand my point.
ogni tecnologia ha vulnerabilita, passata questa, se ne trovera' un'altra.

cio' non ci impedisce di usare strumenti elettronici.
ed i vantgagi outscale gli svantaggi e il rapporto benefici/rischi e
estremamnete in vantaggio dei benefici

BTW, anche un sistema basato su carta ha delle vulnerabilita'.

ciao, s.


On 10/04/2020 18:02, Enrico Nardelli wrote:
Grazie Stefano per l'articolata risposta.

Ero consapevole (e l'avevo anche citato nel post) che il Garante della
Privacy aveva osservato che l'adesione doveva essere volontaria, ma come
lui stesso ha osservato serve avere almeno il 60% dei cittadini che la
usano e quindi quel "pretendere" non era inteso in senso legale ma come
"prerequisito" per il funzionamento del tutto.

È vero, come osservi, che tutti i software sono in qualche modo bacati
(chi più chi meno) ma appoggiare, per questa situazione di emergenza
sanitaria, una soluzione di massa (che ha comunque bisogno per
funzionare  di tutta di una serie di misure di contorno - come hanno
osservato lo stesso Garante e le varie organizzazioni internazionali
citate alla fine del mio post) su una tecnologia che ha dimostrato nel
corso degli anni di non avere le spalle robuste rispetto alla sicurezza
mi sembra una scelta che, anche se "tecnicamente" interessante, sia da
rigettare dal punto di vista sociale e politico.

Per quanto riguarda Bluetooth questa descritta qua

https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-cve-2020-0022/

è una vulnerabilità che permette ad un attaccante di entrare, installare
malware e rubare dati. Basta conoscere semplicemente il Bluetooth MAC
address per ottenere l'accesso al dispositivo

Certo, è stata sistemata con una release di Android di Febbraio 2020, ma
vogliamo davvero poggiare la privacy dei cittadini sulla certezza che
hanno tutti aggiornato il proprio smartphone???

Buona Pasqua anche a te!

Ciao, Enrico


Il 10/04/2020 16:23, Stefano Quintarelli ha scritto:
Ciao Enrico,

tu scrivi:

"Pretendere però che tutti i cittadini vadano in giro con il Bluetooth
(o altra tecnologia) costantemente disponibile per comunicare è
secondo me equivalente a chiedere loro di non chiudere a chiave la
porta di casa perchè deve passare il dottore per una visita medica.
Nel mondo reale equivarrebbe ad esporre le case di tutti i cittadini
ad un elevato rischio di intrusione. "

premesso che il garante dice che dovrebbe essere opt-in, la stessa
"pretesa" nei confronti di quelle persone che decidono di installarsi
un'app che usa il bluetooth la hanno anche, nei confronti di quelle
persone che decidono di usare auricolari bluetooth, i produttori di
tali auricolari... alla fine e' la persona che decide...

al link sulle /forti vulnerabilita'/ che inserisci nell'articolo si
elencano tutte vulnerabilita' (tranne una) che generano DOS, non che
consentono l'accesso.
Quindi, la analogia piu' precisa, non sarebbe "esporre le case di
tutti i cittadini ad un elevato rischio di intrusione." ma "esporre le
case di tutti i cittadini [che decidono di farlo] al rischio di
ricevere un carico di letame sul vialetto di accesso"...
;-)

per quell'uno ("tranne una") si dice anche che "Some of the affected
products include the 2018 smartwatch lineup from FitBit, Eve Systems
smart home products, the CubiTag Bluetooth tracker, and the eGee Touch
smart luggage lock."

ciao, s.

p.s. l'articolo originale del ricercatore e' questo
https://asset-group.github.io/disclosures/sweyntooth/

giustamente scrivi che "come da molto tempo è noto", questa famiglia
di vulenrabilita', disclosed a settembre 2019, ha gia' avuto molte
patch da parte dei produttori dei chip coinvolti.

in particolare, il bug che consente di intrudere, avviene durante una
oeprazione di "secure pairing" (che tanto secure non è). Ovvero, se
non fai pairing non sei esposto. Quindi, volendo rimanere
all'analogia', sarebbe come chiedere di fare entrare in casa un
infermiere salvo poi scoprire che era un malfattore e l'ambulanza
davanti a casa era finta.
Ma nessuna delle app in questione chiede di fare entrare alcunchi,
nemmeno un dottore. Rectius, di fare qualsiasi pairing, nemmeno secure.

poi, che l'informatica produca uno sterminio di vulnerabilita', non
credo sorprenda nessuno in questa lista. Io uso come client di email
Thunderbird (che credo usi anche tu), che ha 980 vulnerabilita'
segnalate...
https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overview&query=thunderbird&search_type=all


Buona Pasqua!


On 10/04/2020 14:29, Enrico Nardelli wrote:
Alcune riflessioni sull'impatto delle soluzioni digitali di
tracciamento dei contatti che secondo me vengono trascurate.
https://link-and-think.blogspot.com/2020/04/problematiche-del-tracciamento-dei.html


Ogni commento è benvenuto.


-- EN

=====================================================================
Prof. Enrico Nardelli
Dipartimento di Matematica - Universita' di Roma "Tor Vergata"
Via della Ricerca Scientifica snc - 00133 Roma
tel: +39 06 7259.4204    fax: +39 06 7259.4699
mobile: +39 335 590.2331     e-mail: nardelli@mat.uniroma2.it
home page: http://www.mat.uniroma2.it/~nardelli
blog: http://www.ilfattoquotidiano.it/blog/enardelli/
       http://link-and-think.blogspot.it/
=====================================================================


-- EN

=====================================================================
Prof. Enrico Nardelli
Dipartimento di Matematica - Universita' di Roma "Tor Vergata"
Via della Ricerca Scientifica snc - 00133 Roma
tel: +39 06 7259.4204    fax: +39 06 7259.4699
mobile: +39 335 590.2331     e-mail: nardelli@mat.uniroma2.it
home page: http://www.mat.uniroma2.it/~nardelli
blog: http://www.ilfattoquotidiano.it/blog/enardelli/
      http://link-and-think.blogspot.it/
=====================================================================

--
reserve your meeting with me at https://cal.quintarelli.it


------------------------------

Message: 2
Date: Fri, 10 Apr 2020 20:23:02 +0200
From: Enrico Nardelli <nardelli@mat.uniroma2.it>
To: Stefano Quintarelli <stefano@quintarelli.it>, Nexa
   <nexa@server-nexa.polito.it>
Subject: Re: [nexa] Problematiche del tracciamento dei contatti: non
   dobbiamo scegliere tra privacy e salute
Message-ID: <96557a52-fba0-7dc2-e8b7-eb1440d77a30@mat.uniroma2.it>
Content-Type: text/plain; charset=utf-8; format=flowed

metoo... :-)

ciao, enrico

Il 10/04/2020 19:59, Stefano Quintarelli ha scritto:
I stand my point.
ogni tecnologia ha vulnerabilita, passata questa, se ne trovera' un'altra.

cio' non ci impedisce di usare strumenti elettronici.
ed i vantgagi outscale gli svantaggi e il rapporto benefici/rischi e estremamnete in vantaggio dei benefici

BTW, anche un sistema basato su carta ha delle vulnerabilita'.

ciao, s.


On 10/04/2020 18:02, Enrico Nardelli wrote:
Grazie Stefano per l'articolata risposta.

Ero consapevole (e l'avevo anche citato nel post) che il Garante della Privacy aveva osservato che l'adesione doveva essere volontaria, ma come lui stesso ha osservato serve avere almeno il 60% dei cittadini che la usano e quindi quel "pretendere" non era inteso in senso legale ma come "prerequisito" per il funzionamento del tutto.

È vero, come osservi, che tutti i software sono in qualche modo bacati (chi più chi meno) ma appoggiare, per questa situazione di emergenza sanitaria, una soluzione di massa (che ha comunque bisogno per funzionare  di tutta di una serie di misure di contorno - come hanno osservato lo stesso Garante e le varie organizzazioni internazionali citate alla fine del mio post) su una tecnologia che ha dimostrato nel corso degli anni di non avere le spalle robuste rispetto alla sicurezza mi sembra una scelta che, anche se "tecnicamente" interessante, sia da rigettare dal punto di vista sociale e politico.

Per quanto riguarda Bluetooth questa descritta qua
https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-cve-2020-0022/
è una vulnerabilità che permette ad un attaccante di entrare, installare malware e rubare dati. Basta conoscere semplicemente il Bluetooth MAC address per ottenere l'accesso al dispositivo

Certo, è stata sistemata con una release di Android di Febbraio 2020, ma vogliamo davvero poggiare la privacy dei cittadini sulla certezza che hanno tutti aggiornato il proprio smartphone???

Buona Pasqua anche a te!

Ciao, Enrico


Il 10/04/2020 16:23, Stefano Quintarelli ha scritto:
Ciao Enrico,

tu scrivi:

"Pretendere però che tutti i cittadini vadano in giro con il Bluetooth (o altra tecnologia) costantemente disponibile per comunicare è secondo me equivalente a chiedere loro di non chiudere a chiave la porta di casa perchè deve passare il dottore per una visita medica. Nel mondo reale equivarrebbe ad esporre le case di tutti i cittadini ad un elevato rischio di intrusione. "

premesso che il garante dice che dovrebbe essere opt-in, la stessa "pretesa" nei confronti di quelle persone che decidono di installarsi un'app che usa il bluetooth la hanno anche, nei confronti di quelle persone che decidono di usare auricolari bluetooth, i produttori di tali auricolari... alla fine e' la persona che decide...

al link sulle /forti vulnerabilita'/ che inserisci nell'articolo si elencano tutte vulnerabilita' (tranne una) che generano DOS, non che consentono l'accesso.
Quindi, la analogia piu' precisa, non sarebbe "esporre le case di tutti i cittadini ad un elevato rischio di intrusione." ma "esporre le case di tutti i cittadini [che decidono di farlo] al rischio di ricevere un carico di letame sul vialetto di accesso"...
;-)

per quell'uno ("tranne una") si dice anche che "Some of the affected products include the 2018 smartwatch lineup from FitBit, Eve Systems smart home products, the CubiTag Bluetooth tracker, and the eGee Touch smart luggage lock."

ciao, s.

p.s. l'articolo originale del ricercatore e' questo
https://asset-group.github.io/disclosures/sweyntooth/

giustamente scrivi che "come da molto tempo è noto", questa famiglia di vulenrabilita', disclosed a settembre 2019, ha gia' avuto molte patch da parte dei produttori dei chip coinvolti.

in particolare, il bug che consente di intrudere, avviene durante una oeprazione di "secure pairing" (che tanto secure non è). Ovvero, se non fai pairing non sei esposto. Quindi, volendo rimanere all'analogia', sarebbe come chiedere di fare entrare in casa un infermiere salvo poi scoprire che era un malfattore e l'ambulanza davanti a casa era finta.
Ma nessuna delle app in questione chiede di fare entrare alcunchi, nemmeno un dottore. Rectius, di fare qualsiasi pairing, nemmeno secure.

poi, che l'informatica produca uno sterminio di vulnerabilita', non credo sorprenda nessuno in questa lista. Io uso come client di email Thunderbird (che credo usi anche tu), che ha 980 vulnerabilita' segnalate...
https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overview&query=thunderbird&search_type=all

Buona Pasqua!


On 10/04/2020 14:29, Enrico Nardelli wrote:
Alcune riflessioni sull'impatto delle soluzioni digitali di tracciamento dei contatti che secondo me vengono trascurate.
https://link-and-think.blogspot.com/2020/04/problematiche-del-tracciamento-dei.html

Ogni commento è benvenuto.


-- EN

=====================================================================
Prof. Enrico Nardelli
Dipartimento di Matematica - Universita' di Roma "Tor Vergata"
Via della Ricerca Scientifica snc - 00133 Roma
tel: +39 06 7259.4204    fax: +39 06 7259.4699
mobile: +39 335 590.2331     e-mail: nardelli@mat.uniroma2.it
home page: http://www.mat.uniroma2.it/~nardelli
blog: http://www.ilfattoquotidiano.it/blog/enardelli/
       http://link-and-think.blogspot.it/
=====================================================================


-- EN

=====================================================================
Prof. Enrico Nardelli
Dipartimento di Matematica - Universita' di Roma "Tor Vergata"
Via della Ricerca Scientifica snc - 00133 Roma
tel: +39 06 7259.4204    fax: +39 06 7259.4699
mobile: +39 335 590.2331     e-mail: nardelli@mat.uniroma2.it
home page: http://www.mat.uniroma2.it/~nardelli
blog: http://www.ilfattoquotidiano.it/blog/enardelli/
       http://link-and-think.blogspot.it/
=====================================================================


-- EN

=====================================================================
Prof. Enrico Nardelli
Dipartimento di Matematica - Universita' di Roma "Tor Vergata"
Via della Ricerca Scientifica snc - 00133 Roma
tel: +39 06 7259.4204    fax: +39 06 7259.4699
mobile: +39 335 590.2331     e-mail: nardelli@mat.uniroma2.it
home page: http://www.mat.uniroma2.it/~nardelli
blog: http://www.ilfattoquotidiano.it/blog/enardelli/
      http://link-and-think.blogspot.it/
=====================================================================
--


------------------------------

Message: 3
Date: Fri, 10 Apr 2020 20:25:31 +0200
From: Enrico Nardelli <nardelli@mat.uniroma2.it>
To: Nexa <nexa@server-nexa.polito.it>
Subject: [nexa] aggiornamento sul protocollo DP-3T per il tracciamento
   dei    contatti
Message-ID: <aac36e5b-1351-ed40-b624-2dab004b29a0@mat.uniroma2.it>
Content-Type: text/plain; charset=utf-8; format=flowed


  https://link-and-think.blogspot.com/2020/04/come-funziona-la-nuova-versione-di-dp.html

Grazie in anticipo per ogni commento.

PS
Versione in inglese in lavorazione...

-- EN

=====================================================================
Prof. Enrico Nardelli
Dipartimento di Matematica - Universita' di Roma "Tor Vergata"
Via della Ricerca Scientifica snc - 00133 Roma
tel: +39 06 7259.4204    fax: +39 06 7259.4699
mobile: +39 335 590.2331     e-mail: nardelli@mat.uniroma2.it
home page: http://www.mat.uniroma2.it/~nardelli
blog: http://www.ilfattoquotidiano.it/blog/enardelli/
      http://link-and-think.blogspot.it/
=====================================================================
--


------------------------------

Message: 4
Date: Fri, 10 Apr 2020 19:09:13 +0000
From: Roberto Dolci <rob.dolci@aizoon.us>
To: Enrico Nardelli <nardelli@mat.uniroma2.it>, Nexa
   <nexa@server-nexa.polito.it>
Subject: Re: [nexa] aggiornamento sul protocollo DP-3T per il
   tracciamento    dei    contatti
Message-ID: <b2badaa5039a409ba43ebf57908eafaa@SRVEX03.aizoon.local>
Content-Type: text/plain; charset="utf-8"

Certo che dare tutti i propri dati in pasto ad Apple e Google per evitare il virus...quasi quasi...uno ci pensa due volte  https://www.lastampa.it/tecnologia/news/2020/04/10/news/apple-e-google-insieme-al-lavoro-sul-contact-tracing-contro-il-coronavirus-1.38704286

-----Original Message-----
From: nexa <nexa-bounces@server-nexa.polito.it> On Behalf Of Enrico Nardelli
Sent: Friday, April 10, 2020 2:26 PM
To: Nexa <nexa@server-nexa.polito.it>
Subject: [nexa] aggiornamento sul protocollo DP-3T per il tracciamento dei contatti


  https://link-and-think.blogspot.com/2020/04/come-funziona-la-nuova-versione-di-dp.html

Grazie in anticipo per ogni commento.

PS
Versione in inglese in lavorazione...

-- EN

=====================================================================
Prof. Enrico Nardelli
Dipartimento di Matematica - Universita' di Roma "Tor Vergata"
Via della Ricerca Scientifica snc - 00133 Roma
tel: +39 06 7259.4204    fax: +39 06 7259.4699
mobile: +39 335 590.2331     e-mail: nardelli@mat.uniroma2.it
home page: http://www.mat.uniroma2.it/~nardelli
blog: http://www.ilfattoquotidiano.it/blog/enardelli/
      http://link-and-think.blogspot.it/
=====================================================================
--
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

------------------------------

Message: 5
Date: Fri, 10 Apr 2020 23:55:05 +0200
From: Giacomo Tesio <giacomo@tesio.it>
To: Stefano Quintarelli <stefano@quintarelli.it>
Cc: Nexa <nexa@server-nexa.polito.it>
Subject: Re: [nexa] Problematiche del tracciamento dei contatti: non
   dobbiamo scegliere tra privacy e salute
Message-ID:
   <CAHL7psEOhuxVJjqURezJQVLEES7nd0QPOWS73cvi0aJ3SOADqQ@mail.gmail.com>
Content-Type: text/plain; charset="utf-8"

Una delle prime cose che cerco di insegnare ai colleghi più giovani e
quando NON usare gli strumenti di cui dispongono.

Bisogna partire presto, perché è difficile.
Chi da usare solo martelli, vede chiodi dappertutto.


On Friday, 10 April 2020, Stefano Quintarelli <stefano@quintarelli.it>
wrote:
ed i vantgagi outscale gli svantaggi e il rapporto benefici/rischi e
estremamnete in vantaggio dei benefici


Ti dispiacerebbe elencare esplicitamente vantaggi e svantaggi che stai
prendendo in considerazione? E rischi e benefici?

A parte il fatto che non funzionerebbe, intendo... :-D



BTW, anche un sistema basato su carta ha delle vulnerabilita'.

Certamente.

Ma riprodotte su scala diversa.
E con menti umane capaci di minimizzarne rischi e danni.


Un software invece fa sempre la stessa cosa. Spesso sbagliata.

Ed è vero, questo non impedisce il loro utilizzo. D'altronde quanti tetti
di amianto abbiamo ancora in giro?
Funzionano, giusto?


Giacomo
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://server-nexa.polito.it/pipermail/nexa/attachments/20200410/27fb9fca/attachment.html>

------------------------------

Subject: Digest Footer

_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa


------------------------------

End of nexa Digest, Vol 132, Issue 45
*************************************