Problematiche del tracciamento dei contatti: non dobbiamo scegliere tra privacy e salute
Alcune riflessioni sull'impatto delle soluzioni digitali di tracciamento dei contatti che secondo me vengono trascurate. https://link-and-think.blogspot.com/2020/04/problematiche-del-tracciamento-d... Ogni commento è benvenuto. -- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --
Ciao Enrico, tu scrivi: "Pretendere però che tutti i cittadini vadano in giro con il Bluetooth (o altra tecnologia) costantemente disponibile per comunicare è secondo me equivalente a chiedere loro di non chiudere a chiave la porta di casa perchè deve passare il dottore per una visita medica. Nel mondo reale equivarrebbe ad esporre le case di tutti i cittadini ad un elevato rischio di intrusione. " premesso che il garante dice che dovrebbe essere opt-in, la stessa "pretesa" nei confronti di quelle persone che decidono di installarsi un'app che usa il bluetooth la hanno anche, nei confronti di quelle persone che decidono di usare auricolari bluetooth, i produttori di tali auricolari... alla fine e' la persona che decide... al link sulle /forti vulnerabilita'/ che inserisci nell'articolo si elencano tutte vulnerabilita' (tranne una) che generano DOS, non che consentono l'accesso. Quindi, la analogia piu' precisa, non sarebbe "esporre le case di tutti i cittadini ad un elevato rischio di intrusione." ma "esporre le case di tutti i cittadini [che decidono di farlo] al rischio di ricevere un carico di letame sul vialetto di accesso"... ;-) per quell'uno ("tranne una") si dice anche che "Some of the affected products include the 2018 smartwatch lineup from FitBit, Eve Systems smart home products, the CubiTag Bluetooth tracker, and the eGee Touch smart luggage lock." ciao, s. p.s. l'articolo originale del ricercatore e' questo https://asset-group.github.io/disclosures/sweyntooth/ giustamente scrivi che "come da molto tempo è noto", questa famiglia di vulenrabilita', disclosed a settembre 2019, ha gia' avuto molte patch da parte dei produttori dei chip coinvolti. in particolare, il bug che consente di intrudere, avviene durante una oeprazione di "secure pairing" (che tanto secure non è). Ovvero, se non fai pairing non sei esposto. Quindi, volendo rimanere all'analogia', sarebbe come chiedere di fare entrare in casa un infermiere salvo poi scoprire che era un malfattore e l'ambulanza davanti a casa era finta. Ma nessuna delle app in questione chiede di fare entrare alcunchi, nemmeno un dottore. Rectius, di fare qualsiasi pairing, nemmeno secure. poi, che l'informatica produca uno sterminio di vulnerabilita', non credo sorprenda nessuno in questa lista. Io uso come client di email Thunderbird (che credo usi anche tu), che ha 980 vulnerabilita' segnalate... https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overvi... Buona Pasqua! On 10/04/2020 14:29, Enrico Nardelli wrote:
Alcune riflessioni sull'impatto delle soluzioni digitali di tracciamento dei contatti che secondo me vengono trascurate.
https://link-and-think.blogspot.com/2020/04/problematiche-del-tracciamento-d...
Ogni commento è benvenuto.
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ =====================================================================
-- reserve your meeting with me at https://cal.quintarelli.it
Grazie Stefano per l'articolata risposta. Ero consapevole (e l'avevo anche citato nel post) che il Garante della Privacy aveva osservato che l'adesione doveva essere volontaria, ma come lui stesso ha osservato serve avere almeno il 60% dei cittadini che la usano e quindi quel "pretendere" non era inteso in senso legale ma come "prerequisito" per il funzionamento del tutto. È vero, come osservi, che tutti i software sono in qualche modo bacati (chi più chi meno) ma appoggiare, per questa situazione di emergenza sanitaria, una soluzione di massa (che ha comunque bisogno per funzionare di tutta di una serie di misure di contorno - come hanno osservato lo stesso Garante e le varie organizzazioni internazionali citate alla fine del mio post) su una tecnologia che ha dimostrato nel corso degli anni di non avere le spalle robuste rispetto alla sicurezza mi sembra una scelta che, anche se "tecnicamente" interessante, sia da rigettare dal punto di vista sociale e politico. Per quanto riguarda Bluetooth questa descritta qua https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-c... è una vulnerabilità che permette ad un attaccante di entrare, installare malware e rubare dati. Basta conoscere semplicemente il Bluetooth MAC address per ottenere l'accesso al dispositivo Certo, è stata sistemata con una release di Android di Febbraio 2020, ma vogliamo davvero poggiare la privacy dei cittadini sulla certezza che hanno tutti aggiornato il proprio smartphone??? Buona Pasqua anche a te! Ciao, Enrico Il 10/04/2020 16:23, Stefano Quintarelli ha scritto:
Ciao Enrico,
tu scrivi:
"Pretendere però che tutti i cittadini vadano in giro con il Bluetooth (o altra tecnologia) costantemente disponibile per comunicare è secondo me equivalente a chiedere loro di non chiudere a chiave la porta di casa perchè deve passare il dottore per una visita medica. Nel mondo reale equivarrebbe ad esporre le case di tutti i cittadini ad un elevato rischio di intrusione. "
premesso che il garante dice che dovrebbe essere opt-in, la stessa "pretesa" nei confronti di quelle persone che decidono di installarsi un'app che usa il bluetooth la hanno anche, nei confronti di quelle persone che decidono di usare auricolari bluetooth, i produttori di tali auricolari... alla fine e' la persona che decide...
al link sulle /forti vulnerabilita'/ che inserisci nell'articolo si elencano tutte vulnerabilita' (tranne una) che generano DOS, non che consentono l'accesso. Quindi, la analogia piu' precisa, non sarebbe "esporre le case di tutti i cittadini ad un elevato rischio di intrusione." ma "esporre le case di tutti i cittadini [che decidono di farlo] al rischio di ricevere un carico di letame sul vialetto di accesso"... ;-)
per quell'uno ("tranne una") si dice anche che "Some of the affected products include the 2018 smartwatch lineup from FitBit, Eve Systems smart home products, the CubiTag Bluetooth tracker, and the eGee Touch smart luggage lock."
ciao, s.
p.s. l'articolo originale del ricercatore e' questo https://asset-group.github.io/disclosures/sweyntooth/
giustamente scrivi che "come da molto tempo è noto", questa famiglia di vulenrabilita', disclosed a settembre 2019, ha gia' avuto molte patch da parte dei produttori dei chip coinvolti.
in particolare, il bug che consente di intrudere, avviene durante una oeprazione di "secure pairing" (che tanto secure non è). Ovvero, se non fai pairing non sei esposto. Quindi, volendo rimanere all'analogia', sarebbe come chiedere di fare entrare in casa un infermiere salvo poi scoprire che era un malfattore e l'ambulanza davanti a casa era finta. Ma nessuna delle app in questione chiede di fare entrare alcunchi, nemmeno un dottore. Rectius, di fare qualsiasi pairing, nemmeno secure.
poi, che l'informatica produca uno sterminio di vulnerabilita', non credo sorprenda nessuno in questa lista. Io uso come client di email Thunderbird (che credo usi anche tu), che ha 980 vulnerabilita' segnalate... https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overvi...
Buona Pasqua!
On 10/04/2020 14:29, Enrico Nardelli wrote:
Alcune riflessioni sull'impatto delle soluzioni digitali di tracciamento dei contatti che secondo me vengono trascurate. https://link-and-think.blogspot.com/2020/04/problematiche-del-tracciamento-d...
Ogni commento è benvenuto.
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ =====================================================================
-- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --
I stand my point. ogni tecnologia ha vulnerabilita, passata questa, se ne trovera' un'altra. cio' non ci impedisce di usare strumenti elettronici. ed i vantgagi outscale gli svantaggi e il rapporto benefici/rischi e estremamnete in vantaggio dei benefici BTW, anche un sistema basato su carta ha delle vulnerabilita'. ciao, s. On 10/04/2020 18:02, Enrico Nardelli wrote:
Grazie Stefano per l'articolata risposta.
Ero consapevole (e l'avevo anche citato nel post) che il Garante della Privacy aveva osservato che l'adesione doveva essere volontaria, ma come lui stesso ha osservato serve avere almeno il 60% dei cittadini che la usano e quindi quel "pretendere" non era inteso in senso legale ma come "prerequisito" per il funzionamento del tutto.
È vero, come osservi, che tutti i software sono in qualche modo bacati (chi più chi meno) ma appoggiare, per questa situazione di emergenza sanitaria, una soluzione di massa (che ha comunque bisogno per funzionare di tutta di una serie di misure di contorno - come hanno osservato lo stesso Garante e le varie organizzazioni internazionali citate alla fine del mio post) su una tecnologia che ha dimostrato nel corso degli anni di non avere le spalle robuste rispetto alla sicurezza mi sembra una scelta che, anche se "tecnicamente" interessante, sia da rigettare dal punto di vista sociale e politico.
Per quanto riguarda Bluetooth questa descritta qua
https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-c...
è una vulnerabilità che permette ad un attaccante di entrare, installare malware e rubare dati. Basta conoscere semplicemente il Bluetooth MAC address per ottenere l'accesso al dispositivo
Certo, è stata sistemata con una release di Android di Febbraio 2020, ma vogliamo davvero poggiare la privacy dei cittadini sulla certezza che hanno tutti aggiornato il proprio smartphone???
Buona Pasqua anche a te!
Ciao, Enrico
Il 10/04/2020 16:23, Stefano Quintarelli ha scritto:
Ciao Enrico,
tu scrivi:
"Pretendere però che tutti i cittadini vadano in giro con il Bluetooth (o altra tecnologia) costantemente disponibile per comunicare è secondo me equivalente a chiedere loro di non chiudere a chiave la porta di casa perchè deve passare il dottore per una visita medica. Nel mondo reale equivarrebbe ad esporre le case di tutti i cittadini ad un elevato rischio di intrusione. "
premesso che il garante dice che dovrebbe essere opt-in, la stessa "pretesa" nei confronti di quelle persone che decidono di installarsi un'app che usa il bluetooth la hanno anche, nei confronti di quelle persone che decidono di usare auricolari bluetooth, i produttori di tali auricolari... alla fine e' la persona che decide...
al link sulle /forti vulnerabilita'/ che inserisci nell'articolo si elencano tutte vulnerabilita' (tranne una) che generano DOS, non che consentono l'accesso. Quindi, la analogia piu' precisa, non sarebbe "esporre le case di tutti i cittadini ad un elevato rischio di intrusione." ma "esporre le case di tutti i cittadini [che decidono di farlo] al rischio di ricevere un carico di letame sul vialetto di accesso"... ;-)
per quell'uno ("tranne una") si dice anche che "Some of the affected products include the 2018 smartwatch lineup from FitBit, Eve Systems smart home products, the CubiTag Bluetooth tracker, and the eGee Touch smart luggage lock."
ciao, s.
p.s. l'articolo originale del ricercatore e' questo https://asset-group.github.io/disclosures/sweyntooth/
giustamente scrivi che "come da molto tempo è noto", questa famiglia di vulenrabilita', disclosed a settembre 2019, ha gia' avuto molte patch da parte dei produttori dei chip coinvolti.
in particolare, il bug che consente di intrudere, avviene durante una oeprazione di "secure pairing" (che tanto secure non è). Ovvero, se non fai pairing non sei esposto. Quindi, volendo rimanere all'analogia', sarebbe come chiedere di fare entrare in casa un infermiere salvo poi scoprire che era un malfattore e l'ambulanza davanti a casa era finta. Ma nessuna delle app in questione chiede di fare entrare alcunchi, nemmeno un dottore. Rectius, di fare qualsiasi pairing, nemmeno secure.
poi, che l'informatica produca uno sterminio di vulnerabilita', non credo sorprenda nessuno in questa lista. Io uso come client di email Thunderbird (che credo usi anche tu), che ha 980 vulnerabilita' segnalate... https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overvi...
Buona Pasqua!
On 10/04/2020 14:29, Enrico Nardelli wrote:
Alcune riflessioni sull'impatto delle soluzioni digitali di tracciamento dei contatti che secondo me vengono trascurate. https://link-and-think.blogspot.com/2020/04/problematiche-del-tracciamento-d...
Ogni commento è benvenuto.
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ =====================================================================
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ =====================================================================
-- reserve your meeting with me at https://cal.quintarelli.it
metoo... :-) ciao, enrico Il 10/04/2020 19:59, Stefano Quintarelli ha scritto:
I stand my point. ogni tecnologia ha vulnerabilita, passata questa, se ne trovera' un'altra.
cio' non ci impedisce di usare strumenti elettronici. ed i vantgagi outscale gli svantaggi e il rapporto benefici/rischi e estremamnete in vantaggio dei benefici
BTW, anche un sistema basato su carta ha delle vulnerabilita'.
ciao, s.
On 10/04/2020 18:02, Enrico Nardelli wrote:
Grazie Stefano per l'articolata risposta.
Ero consapevole (e l'avevo anche citato nel post) che il Garante della Privacy aveva osservato che l'adesione doveva essere volontaria, ma come lui stesso ha osservato serve avere almeno il 60% dei cittadini che la usano e quindi quel "pretendere" non era inteso in senso legale ma come "prerequisito" per il funzionamento del tutto.
È vero, come osservi, che tutti i software sono in qualche modo bacati (chi più chi meno) ma appoggiare, per questa situazione di emergenza sanitaria, una soluzione di massa (che ha comunque bisogno per funzionare di tutta di una serie di misure di contorno - come hanno osservato lo stesso Garante e le varie organizzazioni internazionali citate alla fine del mio post) su una tecnologia che ha dimostrato nel corso degli anni di non avere le spalle robuste rispetto alla sicurezza mi sembra una scelta che, anche se "tecnicamente" interessante, sia da rigettare dal punto di vista sociale e politico.
Per quanto riguarda Bluetooth questa descritta qua https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-c... è una vulnerabilità che permette ad un attaccante di entrare, installare malware e rubare dati. Basta conoscere semplicemente il Bluetooth MAC address per ottenere l'accesso al dispositivo
Certo, è stata sistemata con una release di Android di Febbraio 2020, ma vogliamo davvero poggiare la privacy dei cittadini sulla certezza che hanno tutti aggiornato il proprio smartphone???
Buona Pasqua anche a te!
Ciao, Enrico
Il 10/04/2020 16:23, Stefano Quintarelli ha scritto:
Ciao Enrico,
tu scrivi:
"Pretendere però che tutti i cittadini vadano in giro con il Bluetooth (o altra tecnologia) costantemente disponibile per comunicare è secondo me equivalente a chiedere loro di non chiudere a chiave la porta di casa perchè deve passare il dottore per una visita medica. Nel mondo reale equivarrebbe ad esporre le case di tutti i cittadini ad un elevato rischio di intrusione. "
premesso che il garante dice che dovrebbe essere opt-in, la stessa "pretesa" nei confronti di quelle persone che decidono di installarsi un'app che usa il bluetooth la hanno anche, nei confronti di quelle persone che decidono di usare auricolari bluetooth, i produttori di tali auricolari... alla fine e' la persona che decide...
al link sulle /forti vulnerabilita'/ che inserisci nell'articolo si elencano tutte vulnerabilita' (tranne una) che generano DOS, non che consentono l'accesso. Quindi, la analogia piu' precisa, non sarebbe "esporre le case di tutti i cittadini ad un elevato rischio di intrusione." ma "esporre le case di tutti i cittadini [che decidono di farlo] al rischio di ricevere un carico di letame sul vialetto di accesso"... ;-)
per quell'uno ("tranne una") si dice anche che "Some of the affected products include the 2018 smartwatch lineup from FitBit, Eve Systems smart home products, the CubiTag Bluetooth tracker, and the eGee Touch smart luggage lock."
ciao, s.
p.s. l'articolo originale del ricercatore e' questo https://asset-group.github.io/disclosures/sweyntooth/
giustamente scrivi che "come da molto tempo è noto", questa famiglia di vulenrabilita', disclosed a settembre 2019, ha gia' avuto molte patch da parte dei produttori dei chip coinvolti.
in particolare, il bug che consente di intrudere, avviene durante una oeprazione di "secure pairing" (che tanto secure non è). Ovvero, se non fai pairing non sei esposto. Quindi, volendo rimanere all'analogia', sarebbe come chiedere di fare entrare in casa un infermiere salvo poi scoprire che era un malfattore e l'ambulanza davanti a casa era finta. Ma nessuna delle app in questione chiede di fare entrare alcunchi, nemmeno un dottore. Rectius, di fare qualsiasi pairing, nemmeno secure.
poi, che l'informatica produca uno sterminio di vulnerabilita', non credo sorprenda nessuno in questa lista. Io uso come client di email Thunderbird (che credo usi anche tu), che ha 980 vulnerabilita' segnalate... https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overvi...
Buona Pasqua!
On 10/04/2020 14:29, Enrico Nardelli wrote:
Alcune riflessioni sull'impatto delle soluzioni digitali di tracciamento dei contatti che secondo me vengono trascurate. https://link-and-think.blogspot.com/2020/04/problematiche-del-tracciamento-d...
Ogni commento è benvenuto.
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ =====================================================================
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ =====================================================================
-- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --
Una delle prime cose che cerco di insegnare ai colleghi più giovani e quando NON usare gli strumenti di cui dispongono. Bisogna partire presto, perché è difficile. Chi da usare solo martelli, vede chiodi dappertutto. On Friday, 10 April 2020, Stefano Quintarelli <stefano@quintarelli.it> wrote:
ed i vantgagi outscale gli svantaggi e il rapporto benefici/rischi e estremamnete in vantaggio dei benefici
Ti dispiacerebbe elencare esplicitamente vantaggi e svantaggi che stai prendendo in considerazione? E rischi e benefici? A parte il fatto che non funzionerebbe, intendo... :-D
BTW, anche un sistema basato su carta ha delle vulnerabilita'.
Certamente. Ma riprodotte su scala diversa. E con menti umane capaci di minimizzarne rischi e danni. Un software invece fa sempre la stessa cosa. Spesso sbagliata. Ed è vero, questo non impedisce il loro utilizzo. D'altronde quanti tetti di amianto abbiamo ancora in giro? Funzionano, giusto? Giacomo
On 10/04/2020 18:02, Enrico Nardelli wrote:
Grazie Stefano per l'articolata risposta.
Ero consapevole (e l'avevo anche citato nel post) che il Garante della Privacy aveva osservato che l'adesione doveva essere volontaria, ma come lui stesso ha osservato serve avere almeno il 60% dei cittadini che la usano e quindi quel "pretendere" non era inteso in senso legale ma come "prerequisito" per il funzionamento del tutto.
La penetrazione degli smartphone in Italia era del 58% nel 2018 (dati Pew, da Wikipedia [1]). Se serve il 60% dei cittadini perchè il tracciamento sia efficace, occorre che: - tutti vogliano installere l'app e si fidino, - tutti sappiano come installare un'app, - tutti riescano ad installare l'app giusta, e non le decine di fake che verranno fuori, - tutti sappiano poi usare l'app, attivare e disattivare il BT, eccetera. Cioè deve essere obbligatoria e magari anche preinstallata. Un saluto e un augurio di Buona Pasqua a tutti. Alberto [1] <https://en.wikipedia.org/wiki/List_of_countries_by_smartphone_penetration>
On Sat, Apr 11, 2020 at 09:42:09AM +0200, Alberto Cammozzo wrote:
La penetrazione degli smartphone in Italia era del 58% nel 2018 (dati Pew, da Wikipedia [1]). [...] - tutti sappiano poi usare l'app, attivare e disattivare il BT, eccetera.
Qualcuno ha trovato dati su quanti utenti di cellulari hanno il bluetooth attivo? Io ci ho provato, senza successo (per ora). -- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club »
On 11/04/2020 09:52, Stefano Zacchiroli wrote:
On Sat, Apr 11, 2020 at 09:42:09AM +0200, Alberto Cammozzo wrote:
La penetrazione degli smartphone in Italia era del 58% nel 2018 (dati Pew, da Wikipedia [1]). [...] - tutti sappiano poi usare l'app, attivare e disattivare il BT, eccetera. Qualcuno ha trovato dati su quanti utenti di cellulari hanno il bluetooth attivo? Io ci ho provato, senza successo (per ora).
Dati del 2016 danno circa il 40%, con grande variabilità regionale [1]. A giudicare da quanti guidano in auto nuove col telefono in mano, qui sono in pochi. Un altro dato interessante è questo: ad oggi il sito di TraceTogether [2] dichiara un milione di utenti, che su 5.7 milioni di abitanti porta la penetrazione dell'app a Singapore sotto il 20%. Anche aggiustando i dati sulla demografia per escludere i minori eccetera, siamo sempre generosamente sotto il 25%. Dai dati COVID si vede che Singapore ha una crescita di casi giornalieri in proporzione superiore all'Italia [3] ma un bassissimo numero di morti. Ci sono analisi che attribuiscono questi dati all'app? Alberto [1] <https://www.quora.com/How-many-people-have-Bluetooth-enabled-on-their-mobile...> [2] <https://www.tracetogether.gov.sg/> [3] <https://coronavirusgraphs.com/?c=da&y=log&t=line&f=0&ct=&co=92,116,125,206>
On Saturday, 11 April 2020, Alberto Cammozzo <ac+nexa@zeromx.net> wrote:
On 11/04/2020 09:52, Stefano Zacchiroli wrote:
On Sat, Apr 11, 2020 at 09:42:09AM +0200, Alberto Cammozzo wrote: Dai dati COVID si vede che Singapore ha una crescita di casi giornalieri in proporzione superiore all'Italia [3] ma un bassissimo numero di morti.
Più posti letto in terapia intensiva? Medici addestrati per l'emergenza? Indicazioni chiare e coerenti alla popolazione? Basilare buon senso? In effetti, a quanti leggo, l'App di tracciamento dei contatti non ha influenzato minimamente il contenimento della epidemia, se è vero che nonostante il suo successo in termini di marketing, non è stato possibile ricostruire oltre metà dei contagi. In realtà però la crescita del numero di casi dipende anzitutto da con li misuri. Ovvero da quanti test fai. Basterebbe allargare leggermente le maglie dei criteri per effettuare un tampone in una qualsiasi regione italiana, per poter gridare all'esplosione dei contagi e giustificare misure più restrittive delle libertà. Sembra quasi che vadano a pesca (di consenso). Devi dare un po' di filo al pesce, se vuoi evitare che strappi la lenza. A breve riaprono diversi esercizi commerciali. Quale occasione migliore? Più test faranno emergere più contagi, la gente avrà paura e diventerà più malleabile.
Ci sono analisi che attribuiscono questi dati all'app?
Oh beh... Sono certo che qualcuno prima o poi le scriverà. Magari su Medium. Giacomo
Buongiorno, due parole in merito al Bluetooth e alla sicurezza dei nostri smartphone: lasciamo ogni speranza, noi che lo usiamo. Io non ho dubbio alcuno che chi sta sviluppando l'app (in particolare DP-3T) ha a cuore la protezione della privacy degli utenti, ma _nessuno_ deve far finta che quella app funzionerà in un ecosistema "lindo" Enrico Nardelli <nardelli@mat.uniroma2.it> writes:
Per quanto riguarda Bluetooth questa descritta qua https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-c... è una vulnerabilità che permette ad un attaccante di entrare, installare malware e rubare dati. Basta conoscere semplicemente il Bluetooth MAC address per ottenere l'accesso al dispositivo
Ho già citato in altro thread: Blueborne del 2017 [1] è un altro attacco che consente di acquisire controllo remoto del dispositivo. Ovviamente sia per Android che iOS (oltre al resto dei SO) sono disponibili da tempo le patch di quel baco
Certo, è stata sistemata con una release di Android di Febbraio 2020, ma vogliamo davvero poggiare la privacy dei cittadini sulla certezza che hanno tutti aggiornato il proprio smartphone???
E a volte (spesso?) i cittadini che vogliono aggiornare il sistema operativo del proprio smartphone semplicemente non possono per due ragioni: 1. i venditori del proprio smartphone (non Google che fa la patch di Android) a volte ci mettono troppo ad applicare l'aggiornamento 2. più frequente: lo smartphone semplicemente non è più supportato dal produttore, cioè _zero_ aggiornamenti per il SO In particolare il caso 2. rende l'intero ecosistema **un filino** fragile dal punto di vista della sicutezza da exploit dei bachi nel SO Nel mio caso **sui generis**, per esempio, ho installato da tempo LineageOS sul mio smartphone _ma_ il mio vecchio modello ormai non è più ufficialmente supportato (non distribuiscono più aggiornamenti binari) e io non ho tempo e voglia di ricompilarmi tutto da zero per avere gli ultimi aggiornamenti... almeno per ora; quindi, almeno per ora, per favore lasciamemi tenere spento il mio bluetooth e consogliare a tutti coloro ai quali voglio bene che è buona cosa tenerlo spento, OK? Ah: ça va sanse dire che io ho deciso di sbattermi a sostituire Android stock con LineageOS (e Google Play con FDroid) per il "banale" motivo che le backdoors piovono come polpette (anche) in Android... e manco LineageOS mi tiene lontano da quelle più serie per il semplice motivo che c'è sempre un SO proprietario che gira sul processore baseband [2] (sì, ci sono due processori); ma **in emergenza** facciamo finta che questo sia un dettaglio di poco conto, che tanto solo chi ha la chiave della backdoor può compromettere il mio smartphone. Tornando al **communi generis**, chiunque distribuirà una app di contact tracing digitale basata su bluetooth **non dovrà** lavarsene le mani e lasciare che sia l'utente finale a fare i conti con questi _serissimi_ problema di sicurezza con BT: come minimo dovranno anche incorporare nella app un sistema di verifica della presenza di bug noti nel sottosistema Bluetooth e se del caso far comparire una icona di pericolo grande come una casa, che l'utente non può non vedere, prima di procedere. ... **solo questa** questa sarebbe _vera_ libertà di scelta :-D (la libertà di scelta finta è quella dove ti dicono: puoi fidarti di Caio, Tizio o Sempronio ma devi fidarti ciecamente :-S ) Una volta risolto (risolto?!?) il problema di evitare che gli script kiddies si divertano un mondo prendendo possesso degli smartphones altrui per creare ogni sorta di botnet et similia, una volta risolta l'emergenza covid-19 con le sue esigenze di "digital contact tracing", io mi auguro di cuore che si possa finalmente seriamente discutere - possibilmente in modo inclusivo e a livello nazionale, non tra i soliti "quattro gatti" - di quanto il nostro ecosistema digitale faccia letteralmente acqua da tutte le parti, a partire **dall'hardware** (che poi è sempre software). Cordiali saluti, Giovanni [1] https://en.wikipedia.org/wiki/BlueBorne_(security_vulnerability) [2] https://www.fsf.org/blogs/community/replicant-developers-find-and-close-sams... articolo del 2014 ma nel frattempo non è che la situazione sia miglionata, neh! :-O
Buona Pasqua anche a te!
Ciao, Enrico
Il 10/04/2020 16:23, Stefano Quintarelli ha scritto:
Ciao Enrico,
tu scrivi:
"Pretendere però che tutti i cittadini vadano in giro con il Bluetooth (o altra tecnologia) costantemente disponibile per comunicare è secondo me equivalente a chiedere loro di non chiudere a chiave la porta di casa perchè deve passare il dottore per una visita medica. Nel mondo reale equivarrebbe ad esporre le case di tutti i cittadini ad un elevato rischio di intrusione. "
premesso che il garante dice che dovrebbe essere opt-in, la stessa "pretesa" nei confronti di quelle persone che decidono di installarsi un'app che usa il bluetooth la hanno anche, nei confronti di quelle persone che decidono di usare auricolari bluetooth, i produttori di tali auricolari... alla fine e' la persona che decide...
al link sulle /forti vulnerabilita'/ che inserisci nell'articolo si elencano tutte vulnerabilita' (tranne una) che generano DOS, non che consentono l'accesso. Quindi, la analogia piu' precisa, non sarebbe "esporre le case di tutti i cittadini ad un elevato rischio di intrusione." ma "esporre le case di tutti i cittadini [che decidono di farlo] al rischio di ricevere un carico di letame sul vialetto di accesso"... ;-)
per quell'uno ("tranne una") si dice anche che "Some of the affected products include the 2018 smartwatch lineup from FitBit, Eve Systems smart home products, the CubiTag Bluetooth tracker, and the eGee Touch smart luggage lock."
ciao, s.
p.s. l'articolo originale del ricercatore e' questo https://asset-group.github.io/disclosures/sweyntooth/
giustamente scrivi che "come da molto tempo è noto", questa famiglia di vulenrabilita', disclosed a settembre 2019, ha gia' avuto molte patch da parte dei produttori dei chip coinvolti.
in particolare, il bug che consente di intrudere, avviene durante una oeprazione di "secure pairing" (che tanto secure non è). Ovvero, se non fai pairing non sei esposto. Quindi, volendo rimanere all'analogia', sarebbe come chiedere di fare entrare in casa un infermiere salvo poi scoprire che era un malfattore e l'ambulanza davanti a casa era finta. Ma nessuna delle app in questione chiede di fare entrare alcunchi, nemmeno un dottore. Rectius, di fare qualsiasi pairing, nemmeno secure.
poi, che l'informatica produca uno sterminio di vulnerabilita', non credo sorprenda nessuno in questa lista. Io uso come client di email Thunderbird (che credo usi anche tu), che ha 980 vulnerabilita' segnalate... https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overvi...
Buona Pasqua!
On 10/04/2020 14:29, Enrico Nardelli wrote:
Alcune riflessioni sull'impatto delle soluzioni digitali di tracciamento dei contatti che secondo me vengono trascurate. https://link-and-think.blogspot.com/2020/04/problematiche-del-tracciamento-d...
Ogni commento è benvenuto.
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ =====================================================================
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== -- _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Giovanni Biscuolo Xelera IT Infrastructures
On 13/04/2020 11:52, Giovanni Biscuolo wrote:
Una volta risolto (risolto?!?) il problema di evitare che gli script kiddies si divertano un mondo prendendo possesso degli smartphones altrui
probabilmente tutto giusto, tutto vero, ho una sola una domanda: perche' questi kiddies non lo fanno con quelli che usano il BT oggi e invece lo farebbero con quelli che userebbero il BT domani ? ciao, s. -- reserve your meeting with me at https://cal.quintarelli.it
Stefano Quintarelli <stefano@quintarelli.it> writes:
On 13/04/2020 11:52, Giovanni Biscuolo wrote:
Una volta risolto (risolto?!?) il problema di evitare che gli script kiddies si divertano un mondo prendendo possesso degli smartphones altrui
probabilmente tutto giusto, tutto vero,
Probabilmente: divertente :-) Mettiamola così: probabilmente come io (io!? nulla di quello che penso è davvero mio) giudico le cose nell'universo digitale sbaglio, tuttavia ritengo che la mia "relativity of wrong" [1] sia minore rispetto ad altri giudizi sul funzionamento dello stesso universo; laddove mi sbagliassi, nel dettaglio, sarei sinceramente felice di cambiare giudizio.
ho una sola una domanda: perche' questi kiddies non lo fanno con quelli che usano il BT oggi
Non ho idea di quanto lo facciano o meno; non ho idea, se non lo fanno, del perché; forse lo fanno e si divertono senza fare nulla di male o di evidente, forse non lo fanno perché la maggior parte dei BT a tiro sono normalmente spenti (come il mio, che vorrei continuare a tenere spento). In poche parole: non lo so :-)
e invece lo farebbero con quelli che userebbero il BT domani ?
Idem, cioè non lo so :-) [...] Quindi: speriamo che gli script kiddies non lo facciano, senza sapere bene il perché :-) In merito a quelli che invece script kiddies non sono, direi che nell'armamentario a loro disposizione bluetooth probabilmente è quello che rappresenta la maggior superficie di attacco... ma confidiamo pure che nessuno lo utilizzi per sfruttare il contact tracing a proprio vantaggio :-) ciao, Giovanni [1] http://hermiene.net/essays-trans/relativity_of_wrong.html (adoro la parte sul terrapiattismo) P.S.: c'entra nulla con l'uso nell'applicazione di contact tracing, ma anche KNOB Attack (pairing) è piuttosto insidioso https://knobattack.com/ -- Giovanni Biscuolo Xelera IT Infrastructures
On 13/04/2020 16:40, Giovanni Biscuolo wrote:
e invece lo farebbero con quelli che userebbero il BT domani ? Idem, cioè non lo so :-)
[...]
Quindi: speriamo che gli script kiddies non lo facciano, senza sapere bene il perché :-)
si, speriamo che continuino a farlo domani cme lo fanno oggi, ovvero ovvero che continuino a nn falro domani come non lo fanno oggi. ciao, s. -- reserve your meeting with me at https://cal.quintarelli.it
participants (6)
-
Alberto Cammozzo -
Enrico Nardelli -
Giacomo Tesio -
Giovanni Biscuolo -
Stefano Quintarelli -
Stefano Zacchiroli