Buongiorno Giuseppe, ho letto attentamente le tue critiche al "modus cogitandi" di chi, come me, preferisce non avere un app piuttosto che averla... e continuo ad essere in sereno disaccordo, praticamente totale :-) Giuseppe Attardi <attardi@di.unipi.it> writes:
L’articolo è chiaro e ragionevole.
Concordo, in particolare vorrei sottolineare una cosiderazione che troppo spesso nel dibattito pubblico viene quasi sempre ignorata: --8<---------------cut here---------------start------------->8--- La scelta quindi non è e non deve essere tra privacy e salute. In una democrazia, privacy e salute devono essere garantite allo stesso tempo. La storia ha dimostrato più volte che prediligere un diritto individuale a scapito di un altro è un gioco pericoloso che porta spesso a perderli entrambi, con conseguenze gravi e irreversibili. --8<---------------cut here---------------end--------------->8--- ...soprattutto quando ci siamo fatti prendere dal panico, mi permetto di aggiungere.
La mia interpretazione è che i rischi di sicurezza del protocollo DP-3T, dipendano fondamentalmente da fattori esterni alla app stessa, imputabili ad atti malevoli
Tipo quelli che quotidianamente sono effettuati da svariate, cito Gadotti, «autorità sufficientemente potente e determinate»? :-) Andrea Gadotti è un gentiluomo e tra gentiluomini non è necessario fare nomi e cognomi per capire a quale insieme di autorità ci stiamo riferendo, no? :-)
e quindi illegittimi e punibili.
Illegittimi nei sistemi civili, punibili nei sistemi dove la giustizia riesce a dimostrare la responsabilità penale di qualhe persona o civile di qualche persona o ente.
Ad esempio, riguardo al DP-3T:
Questo potenzialmente consente al server di associare questi codici alla stessa persona. In questo caso, l’utente diventa potenzialmente reidentificabile e tracciabile, ma solo retroattivamente e limitatamente al periodo di infezione.
A parte il fatto che la persona infetta è completamente identificata, visto che sono i medici ad averlo diagnosticato,
Ammetto di non conoscere le procedure tradizionali di contact tracing in questo dettaglio e nemmeno come vengono eventualmente digitalizzate e trattate le informazioni raccolte, ma io mi auguro che sia riconosciuta e garantita la riservatezza dell'identità; detto in altre parole secondo me non c'è bisogno che il ministero della salute (o qualsiasi altra istituzione) abbia la lista degli infetti, a loro dovrebbe bastare il dato aggregato. Il medico ha la deontologia professionale "embedded" :-D Detto in altre parole io _non_ temo le autorità sanitarie locali, ma che svariate «autorità sufficientemente potenti e determinate» abbiano mezzi e interessi per tenere sotto sorveglianza globale intere fasce di popolazione _anche_ sotto il profilo sanitario.
l’atto di “potenzialmente tacciabile" (non si spiega come, ma presumibilmente attraverso altri dati, anch’essi usati illegittimamente),
Non spiega tecnicamente come ma rimanda al paper https://github.com/DP-3T/documents/blob/master/Security%20analysis/Privacy%2... che lui sintetizza così: --8<---------------cut here---------------start------------->8--- DP-3T (e, in modo simile, il protocollo di Apple e Google) include diversi meccanismi per rendere estremamente difficile, se non impossibile, effettuare questo attacco in modo retroattivo da parte di utenti che utilizzano l’app originale. Questi meccanismi sono molto tecnici, quindi rimando al white paper di DP-3T per i dettagli. Purtroppo, questi sistemi di protezione possono essere aggirati da un utente sufficientemente esperto e determinato che decida, in modo proattivo e premeditato, di modificare il funzionamento dell’app in modo da registrare l’ora esatta in cui avviene ogni contatto. --8<---------------cut here---------------end--------------->8--- Riferendosi ai rischi per sistemi centralizzati come ROBERT, Gadotti cita anche il "Sybil attack": ebbene quell'attacco non è problematico "solo" per i sistemi centralizzati (i sistemi centralizzati si ammazzano da soli in relazione all'anonimato) ma è uno di quelli più subdoli *anche* (soprattutto?) per sistemi distribuiti; questa classe di attacchi (assieme ad alcuni altri di classe "architetturale") dimostrano che l'unica cosa seria da fare sarebbe buttare via Internet e farne una nuova :-O Per risolvere questo problemino, GNUnet propone - in una articolata nuova architettura di rete - una cosa che chiama «CADET: Confidential Ad-hoc Decentralized End-to-End Transport» (cito questa perché conosco questa, magari ce ne sono altri altrettanto validi), giusto per dire che non dobbiamo proprio partire da zero su queste cose.
sarebbe un atto illegittimo dell’autorità sanitaria, che utilizza dati al di fuori di quanto le è consentito.
Innanzi tutto _dipende_ dalla giurisdizione nella quale vive il cittadino, diamo per scontato che in Italia possiamo fidarci che l'autorità sanitaria non commetta atti illeciti. In seconda (anzi prima) battuta, ripeto: «autorità sufficientemente potente e determinata potrebbe decidere di sfruttare un sistema centralizzato per fini di sorveglianza di massa.» (cito Gadotti) ...e anche decentralizzato, considerata la gamma di attacchi a disposizione di autorità potenti e determinate.
Altro rischio potenziale ipotizzato è che una persona malevola, vada a ricostruire con chi si trovava in un certo intervallo (a lui sconosciuto in quanto di durata casuale), con una singola persona che evidentemente conosca, da cui potrebbe ricostruire che fosse infetta.
Questo scenario è esattamente quello usato per il Sybil Attack; è quello che rende possibile la deanonimizzazione da parte di un attore sufficientemente potente e determinato, senza una app e una rete per effettuarlo in modo massivo, sistematico e automatizzato il Sybil Attack per non sarebbe possibile.
Ma questo succede anche senza app. Se il medico mi dice che sono stato contagiato, presumibilmente in un arco di 2-3 giorni e io ricordo che in quei giorni non ho avuto contatti non protetti con nessun altro se non con un singolo individuo, potrei concludere che tale individuo fosse infetto.
Hai esemplificato _perfettamente_ la differenza che c'è tra sorveglianza di massa e sorveglianza personalizzata: la sorveglianza personalizzata _può_ essere regolamentata e sottoposta ad una adeguato controllo da parte del combinato disposto legislativo e sanzionatorio [1], quella di massa _no_ (il combinato disposto legislativo e sanzionatorio in questo ambito è un casino praticamente irreparabile). In altre parole, quando c'è di mezzo una app che comunica via Internet, la possibilità di mettere in piedi sistemi di sorveglianza globale è concreta; farlo "manualmente" (senza app) implica che la sorveglianza sia per forza di cose _individuale_ e di conseguenza ci si augura sottoposta ad adeguate regole nei paesi civili. A questo proposito trovo interessante quanto scrivono le persone del progetto secushare.org in https://secushare.org/society: --8<---------------cut here---------------start------------->8--- How we can deal with lawful interception secushare is intended to protect from bulk surveillance, at least on the technological layers it operates on. Its threat model however does not impede targeted surveillance of dangerous individuals, either by using social means of infiltration of dangerous groups or by using technical means of subversion of hardware of individuals. Don't count on us being in favour of any further measures for lawful access while the Internet is totally broken. First we deal with the big problem, then we talk about the small one. --8<---------------cut here---------------end--------------->8--- Trovo spettacolare la frase: «First we deal with the big problem, then we talk about the small one.», lo trovo un atteggiamente estremamente equilibrato e pragmatico.
Chiediamo alla app di dare maggiori garanzie d quante ne esistano nella normale realtà.
Sì, per i motivi illustrati sopra... e comunque, purtroppo, la sorveglianza di massa è la normale realtà :-)
Sappiamo che nessuna tecnologia è perfetta e può essere utilizzata per fare danni. Ma siccome gli usi illegali non possono essere impediti, va valutato il rischio, ossia il prodotto tra il danno e la probabilità che esso accada.
Fai conto che la probabilità che accada che quel dato (questa persona è infetta) venga inglobato nel sistema di sorveglianza globale è pari a 1... 0.98 vah :-) ...io non sono capace di valutare il danno, so solo che personalmente preferirei starne fuori da un tale sistema.
Nella vita normale siamo abituati ad accettare rischi, se sono sotto un certo livello, e abbiamo modi di mitigarli, porvi rimedio o tollerare.
Probabilmente il rischio del non usare la app, non solo individuale ma collettivo, è superiore rispetto al rischio di non usarla.
Tieni presente che qui stiamo parlando solo del richio privacy, e mi pare che il rischio sia valutato come "attuale e concreto" da diverse persone competenti in materia. Di contro, io non ho ancora capito esattamente quale sarebbe il rischio per la salute pubblica collettiva di non adottare una app: non sapere esattamente chi è infetto senza neanche aver tentato con mezzi "manuali"? Dover fare tamponi a tappeto in carenza periodica di forniture mediche specifiche? Dover rimandare la fase-2 di altri tre mesi perché la app è fondamentale e senza quella niente fase-2? In caso di assenza di app quale sarebbe il rischio per la salute collettiva, cioè il prodotto del potenziale danno per la probabilità? Sarebbe significativamente inferiore? Sempre se siamo d'accordo con il principio: «La scelta quindi non è e non deve essere tra privacy e salute. In una democrazia, privacy e salute devono essere garantite allo stesso tempo.»
Noi lasciamo girare persone in motocicletta, anche se sappiamo che possono fare danni a se stessi e ad altri, ma gli imponiamo di seguire il codice della strada e di indossare il casco (ma si può morire anche indossandolo). Se non rispettano le regole, multiamo solo loro, non aboliamo l’uso delle motociclette per tutti.
Sì e non mandiamo nemmeno in giro i motociclisti con una telecamera sempre accesa connessa a un GPS che invia i dati su velocità, giri del motore, livello alcolemico e via discorrendo... per la loro e nostra sicurezza :-) [...] Cordiali saluti, Giovanni [1] per esempio sanzionandomi _pesantemente_ nel caso pubblicassi che Tizio è infetto perché l'ho incontrato il giorno tal dei tali. (A parte il fatto che probabilmente, si dice, più del 70% della popolazione si è infettato) -- Giovanni Biscuolo