Re: [nexa] Privacy e contact tracing: cosa può andare storto?
L’articolo è chiaro e ragionevole. La mia interpretazione è che i rischi di sicurezza del protocollo DP-3T, dipendano fondamentalmente da fattori esterni alla app stessa, imputabili ad atti malevoli e quindi illegittimi e punibili. Ad esempio, riguardo al DP-3T: Questo potenzialmente consente al server di associare questi codici alla stessa persona. In questo caso, l’utente diventa potenzialmente reidentificabile e tracciabile, ma solo retroattivamente e limitatamente al periodo di infezione. A parte il fatto che la persona infetta è completamente identificata, visto che sono i medici ad averlo diagnosticato, l’atto di “potenzialmente tacciabile" (non si spiega come, ma presumibilmente attraverso altri dati, anch’essi usati illegittimamente), sarebbe un atto illegittimo dell’autorità sanitaria, che utilizza dati al di fuori di quanto le è consentito. Altro rischio potenziale ipotizzato è che una persona malevola, vada a ricostruire con chi si trovava in un certo intervallo (a lui sconosciuto in quanto di durata casuale), con una singola persona che evidentemente conosca, da cui potrebbe ricostruire che fosse infetta. Ma questo succede anche senza app. Se il medico mi dice che sono stato contagiato, presumibilmente in un arco di 2-3 giorni e io ricordo che in quei giorni non ho avuto contatti non protetti con nessun altro se non con un singolo individuo, potrei concludere che tale individuo fosse infetto. Chiediamo alla app di dare maggiori garanzie d quante ne esistano nella normale realtà. Sappiamo che nessuna tecnologia è perfetta e può essere utilizzata per fare danni. Ma siccome gli usi illegali non possono essere impediti, va valutato il rischio, ossia il prodotto tra il danno e la probabilità che esso accada. Nella vita normale siamo abituati ad accettare rischi, se sono sotto un certo livello, e abbiamo modi di mitigarli, porvi rimedio o tollerare. Probabilmente il rischio del non usare la app, non solo individuale ma collettivo, è superiore rispetto al rischio di non usarla. Noi lasciamo girare persone in motocicletta, anche se sappiamo che possono fare danni a se stessi e ad altri, ma gli imponiamo di seguire il codice della strada e di indossare il casco (ma si può morire anche indossandolo). Se non rispettano le regole, multiamo solo loro, non aboliamo l’uso delle motociclette per tutti. — Beppe
On 8 May 2020, at 15:11, nexa-request@server-nexa.polito.it wrote:
From: Roberto Resoli <roberto@resolutions.it> To: nexa@server-nexa.polito.it Subject: [nexa] Privacy e contact tracing: cosa può andare storto? Ecco i rischi concreti Message-ID: <F27DD146-99AF-46E5-8ABB-5D2742B2C0AC@resolutions.it> Content-Type: text/plain; charset=utf-8
Un bellissimo articolo da Andrea Gadotti, divulgativo ma con un'analisi comparata dei vari protocolli e una presentazione degli scenari di rischio:
https://www.agendadigitale.eu/sicurezza/privacy/privacy-e-contact-tracing-co...
rob
On 08/05/2020, Giuseppe Attardi <attardi@di.unipi.it> wrote:
Probabilmente il rischio del non usare la app, non solo individuale ma collettivo, è superiore rispetto al rischio di non usarla.
Questa è una valutazione che non condivido. A livello individuale forse il rischio medio è basso. Ma è proprio a livello collettivo che i rischi esposti da Gadotti diventano certezze. Soprattutto nel lungo periodo. Il problema è di scala: - quanti milioni di persone potrà uccidere il prossimo motociclista scellerato? - quanti milioni di persone potrà controllare il prossimo governo scellerato con un update di queste App? Quanto alla legalità degli abusi: vi ricordate cosa è successo alla scuola Diaz nel 2001? Cosa può andare storto? Giacomo
On 8 May 2020, at 18:36, Giacomo Tesio <giacomo@tesio.it> wrote:
On 08/05/2020, Giuseppe Attardi <attardi@di.unipi.it> wrote:
Probabilmente il rischio del non usare la app, non solo individuale ma collettivo, è superiore rispetto al rischio di non usarla.
Questa è una valutazione che non condivido.
A livello individuale forse il rischio medio è basso. Ma è proprio a livello collettivo che i rischi esposti da Gadotti diventano certezze. Soprattutto nel lungo periodo.
In effetti si tratta di un periodo molto lungo ;-) : il decreto prevede che l’operazione cessi entro fine anno e tutti i dati raccolti vengano cancellati. Anzi, il protocollo per la app prevede che i dati vengano cancellati a rotazione ogni giorno dopo 14 giorni, non venendo conservati oltre il minimo tempo necessario, come richiesto dal Garante della Privacy, in base ai principi generali, in particolare: riservatezza e proporzionalità con lo scopo previsto, raccogliendo la minima quantità di dati anonimi, per il minimo di tempo necessario.
Il problema è di scala: - quanti milioni di persone potrà uccidere il prossimo motociclista scellerato? - quanti milioni di persone potrà controllare il prossimo governo scellerato con un update di queste App?
Se ci sarà un tale governo scellerato *in futuro*, il fatto di avere impedito *oggi* l’attivazione “volontaria” di una app, non lo fermerà di certo. Credo che siamo e saremo qui apposta per vigilare che non nascano governi del genere. Personalmente mi batterò fino alla morte per evitare la nascita di un tale governo scellerato, quando ci sarà un tale rischio. L’upgrade delle app sul tuo cellulare dipende solo da te. Anche questa non sei obbligato a installarla.
Quanto alla legalità degli abusi: vi ricordate cosa è successo alla scuola Diaz nel 2001?
Non scherziamo. Quella è una vicenda vergognosa che ho condannato in tutti i modi possibili. E comunque i responsabili sono stati quasi tutti individuati e condannati. https://it.wikipedia.org/wiki/Processi_e_decisioni_giudiziarie_sul_G8_di_Gen...
Cosa può andare storto?
Tutto, in base alla legge di Murphy, ma i pericoli vanno individuati con precisione per potersi difendere e rimediare. Fasciarsi la testa o avere timore per qualunque cosa possa eventualmente succedere, vorrebbe dire restare paralizzati. I rischi dell’uso dell’attuale app sono stati abbondantemente sviscerati, e per quelli sono state date delle risposte, che personalmente considero soddisfacenti. Per tutto il resto, vedremo quando sarà il momento. — Beppe
Giacomo
On Saturday, 9 May 2020, Giuseppe Attardi <attardi@di.unipi.it> wrote:
On 8 May 2020, at 18:36, Giacomo Tesio <giacomo@tesio.it> wrote:
A livello individuale forse il rischio medio è basso. Ma è proprio a livello collettivo che i rischi esposti da Gadotti diventano certezze. Soprattutto nel lungo periodo.
In effetti si tratta di un periodo molto lungo ;-) : il decreto prevede che l’operazione cessi entro fine anno e tutti i dati raccolti vengano cancellati.
E chi verificherà che OGNI COPIA tali dati sia stata effettivamente cancellata? Come? Proponi un metodo per verificare tale effettiva cancellazione. Qualsiasi. Scommetto un caffè che te lo aggiro. Proponine 100 o 1000, li aggirerò tutti. Se un qualsiasi informatico competente avrà accesso (diretto o indiretto) a quei dati, sarà impossibile verificare che quei dati siano stati cancellati.
Anzi, il protocollo per la app prevede che i dati vengano cancellati a rotazione ogni giorno dopo 14 giorni...
I protocolli vengono violati continuamente, Giuseppe. E come spiegava Gadotti, sarà molto facile: chiunque disponga di un dispositivo Bluetooth potrà registrare quelle informazioni associandole con altre informazioni identificative per ricostruire rapidamente il grafo di relazioni di buona parte di una città densamente popolata. E monitorarlo nel tempo. E con un rischio prossimo a zero di essere beccati e processati: come potrebbe il PM dimostrare che i dati arrivano da lì e non da siti web o qualcos'altro? Dunque stai basando la tua valutazione dei rischi sull'assunzione che TUTTI siano ligi alla legge e collaborativi. Persino le organizzazioni criminali. TUTTI devono fingere che il protocollo sia sicuro perché lo sia. E se alcuni volessero ignorare questo tabù? Che facciamo dopo avergli concesso questo enorme potere? Il protocollo cosa dice a riguardo?
riservatezza e proporzionalità con lo scopo previsto, raccogliendo la minima quantità di dati anonimi, per il minimo di tempo necessario.
E finge che non ci siano attaccanti con un minimo di competenza informatica. Attenzione, lo dico con grande ammirazione per l'architettura di D3-3T. Ma come spesso accade agli informatici, si concentra solo sull'artefatto software senza considerare appieno la complessità della società cibernetica in cui verrà immesso.
Il problema è di scala: - quanti milioni di persone potrà uccidere il prossimo motociclista scellerato? - quanti milioni di persone potrà controllare il prossimo governo scellerato con un update di queste App?
Se ci sarà un tale governo scellerato *in futuro*, il fatto di avere impedito *oggi* l’attivazione “volontaria” di una app, non lo fermerà di certo.
Al contrario! Se tale applicazione sarà già installata su milioni di dispositivi, cosa ci potrà fare un Governo in crisi di credibilità e di fiducia? D'altro canto, è giusto mettere "volontaria" fra virgolette: manca totalmente la consapevolezza dei rischi da parte della popolazione. Giustificare come "volontaria" l'installazione di un app di sorveglianza di massa è come giustificare come "volontario" l'avvio alla droga di un undicenne. La quasi totalità della popolazione comprende l'informatica quanto un undicenne comprende le conseguenze dell'assunzione di eroina. Forse meno, in effetti.
Credo che siamo e saremo qui apposta per vigilare che non nascano governi del genere.
Scusa Giuseppe se te lo chiedo, ma sei stato all'estero in questi ultimi anni? Meno di un anno fa, abbiamo avuto Matteo Salvini come Ministro degli Interni. Io c'ero. Ero vigile. Ma non ho potuto impedirlo. E tu? Cosa ti fa credere che la prossima volta andrà meglio?
Personalmente mi batterò fino alla morte per evitare la nascita di un tale governo scellerato, quando ci sarà un tale rischio.
Ahimè, come dimostrano i governi Berlusconi, tale sacrificio sarebbe inutile. Non è di eroi che abbiamo bisogno, ma di Cultura diffusa, di prudenza e lungimiranza. Evitare i disastri è molto più economico che affrontarli. Ma richiede saggezza.
L’upgrade delle app sul tuo cellulare dipende solo da te. Anche questa non sei obbligato a installarla.
Certo. :-) Per caso disponi di uno studio statistico su come vengono aggiornate le applicazioni installate su un cellulare? Scommettiamo che meno del 10% della popolazione si informa sulle modifiche apportate a tali applicazioni? Mi dirai che sono affari loro, vittime della propria ignoranza. Ma in realtà tale ignoranza è causa nostra ed è un pericolo per tutti.
Quanto alla legalità degli abusi: vi ricordate cosa è successo alla scuola Diaz nel 2001?
Non scherziamo. Quella è una vicenda vergognosa che ho condannato in tutti i modi possibili.
Se ti è sembrato che scherzassi, hai frainteso. Sono serissimo. La tua condanna non guarisce i feriti della scuola Diaz. I Governi passati in Italia hanno fatto cose orribili e vergognose. Preferisci pensare alla nave Diciotti che è più recente? E' CERTO che succederà di nuovo. E di peggio. E' incosciente fornire un potere tanto grande ad un Governo in Italia. Ed è francamente ridicolo credere che un'infrastruttura come questa verrà smantellata a fine anno. Non posso veramente credere che tu sia tanto ingenuo da crederci.
E comunque i responsabili sono stati quasi tutti individuati e condannati. https://it.wikipedia.org/wiki/Processi_e_decisioni_giudiziarie_sul_G8_di_Gen...
Leggi meglio. Ci sono 16 occorrenze della parola "prescrizione" in quella pagina. E 4 occorrenze della parola "indulto". Per non parlare di questo passaggio: "Oltre alle impressionanti carriere di molti dei funzionari nel periodo che va dai fatti di Genova alla loro condanna definitiva, ha fatto scalpore la carriera di Gilberto Caldarozzi dopo la condanna in Cassazione e la sospensione; assunto come consulente alla Finmeccanica di cui era presidente l'amico Gianni De Gennaro, capo della polizia ai tempi del G8, è stato nominato vice-capo della Direzione Investigativa Antimafia nel 2017" Quanto poi al fatto che i responsabili siano stati TUTTI individuati... lasciamo perdere.
Cosa può andare storto?
Tutto, in base alla legge di Murphy, ma i pericoli vanno individuati con precisione per potersi difendere e rimediare.
Talvolta questo non è tecnicamente possibile perché gli attacchi possibili ad un sistema intrinsecamente fragile possono essere infiniti. E qui parliamo di un colabrodo.
Fasciarsi la testa o avere timore per qualunque cosa possa eventualmente succedere, vorrebbe dire restare paralizzati.
Assolutamente no. Vuol dire fare test a tappeto. Vuol dire assumere medici ed infermieri. Vuol dire produrre mascherine FFP3 e distribuirle a basso costo. Vuol dire tirar su nuovi ospedali e nuove terapie intensive. Vuol dire fare contact tracing manuale. Insomma, prova a chiedere a medici di famiglia: ti forniranno un elenco di cose che si dovrebbero fare PRIMA, molto PRIMA di pensare ad App di sorveglianza di massa. Cose pratiche e di SICURA efficacia.
I rischi dell’uso dell’attuale app sono stati abbondantemente sviscerati, e per quelli sono state date delle risposte, che personalmente considero soddisfacenti.
Di nuovo, non siamo d'accordo. Per esempio, quando ho spiegato a mia moglie (medico di famiglia) come funzioneranno queste App lei mi ha fatto alcune domande molto intelligenti. Dalle mie risposte ha dedotto che queste App aumenteranno i contagi invece che diminuirli. La ragione è semplice: chi le installa si comporterà LEGITTIMAMENTE come se non potesse infettare gli altri, fintanto che non riceverà una notifica di contatto. Inoltre tutti i medici di famiglia, che certamente avranno contatti con infetti, saranno bloccati a casa per mesi. Io non ho sentito analisi credibili di questi rischi, fin ora. Hai qualche studio in proposito da condividere?
Per tutto il resto, vedremo quando sarà il momento.
Sarà troppo tardi. Giacomo
Riassumo il tuo pensiero in questi punti, per vedere se ho capito: 1. Non ci possiamo fidare del governo (dice che cancellerà i dati, ma non ci si deve fidare) 2. Contro gli atti di un governo legittimo, anche se non ci piacciono, non si può fare nulla, nemmeno se sono contro la legge, nemmeno la magistratura. 3. Infatti ci sono stati già governi scellerati, e non abbiamo potuto farci nulla. 4. C’è “ben altro” che si dovrebbe fare. 5. I cittadini sono ignoranti, per causa nostra (“noi di nexa” immagino, che non sappiamo insegnargli qual è il bene per loro). Se è così, di che cosa stiamo a discutere? — Beppe PS Tra l’altro non mi hai davvero risposto su come una alzata di scudi oggi contro una app ci potrà proteggere da un futuro governo scellerato, che ad esempio obbligasse tutti a installarne una che davvero facesse sorveglianza di massa.
On 10 May 2020, at 15:28, Giacomo Tesio <giacomo@tesio.it> wrote:
On Saturday, 9 May 2020, Giuseppe Attardi <attardi@di.unipi.it <mailto:attardi@di.unipi.it>> wrote:
On 8 May 2020, at 18:36, Giacomo Tesio <giacomo@tesio.it <mailto:giacomo@tesio.it>> wrote:
A livello individuale forse il rischio medio è basso. Ma è proprio a livello collettivo che i rischi esposti da Gadotti diventano certezze. Soprattutto nel lungo periodo.
In effetti si tratta di un periodo molto lungo ;-) : il decreto prevede che l’operazione cessi entro fine anno e tutti i dati raccolti vengano cancellati.
E chi verificherà che OGNI COPIA tali dati sia stata effettivamente cancellata? Come?
Proponi un metodo per verificare tale effettiva cancellazione. Qualsiasi.
Scommetto un caffè che te lo aggiro. Proponine 100 o 1000, li aggirerò tutti.
Se un qualsiasi informatico competente avrà accesso (diretto o indiretto) a quei dati, sarà impossibile verificare che quei dati siano stati cancellati.
Anzi, il protocollo per la app prevede che i dati vengano cancellati a rotazione ogni giorno dopo 14 giorni...
I protocolli vengono violati continuamente, Giuseppe.
E come spiegava Gadotti, sarà molto facile: chiunque disponga di un dispositivo Bluetooth potrà registrare quelle informazioni associandole con altre informazioni identificative per ricostruire rapidamente il grafo di relazioni di buona parte di una città densamente popolata. E monitorarlo nel tempo.
E con un rischio prossimo a zero di essere beccati e processati: come potrebbe il PM dimostrare che i dati arrivano da lì e non da siti web o qualcos'altro?
Dunque stai basando la tua valutazione dei rischi sull'assunzione che TUTTI siano ligi alla legge e collaborativi. Persino le organizzazioni criminali.
TUTTI devono fingere che il protocollo sia sicuro perché lo sia.
E se alcuni volessero ignorare questo tabù? Che facciamo dopo avergli concesso questo enorme potere?
Il protocollo cosa dice a riguardo?
riservatezza e proporzionalità con lo scopo previsto, raccogliendo la minima quantità di dati anonimi, per il minimo di tempo necessario.
E finge che non ci siano attaccanti con un minimo di competenza informatica. Attenzione, lo dico con grande ammirazione per l'architettura di D3-3T.
Ma come spesso accade agli informatici, si concentra solo sull'artefatto software senza considerare appieno la complessità della società cibernetica in cui verrà immesso.
Il problema è di scala: - quanti milioni di persone potrà uccidere il prossimo motociclista scellerato? - quanti milioni di persone potrà controllare il prossimo governo scellerato con un update di queste App?
Se ci sarà un tale governo scellerato *in futuro*, il fatto di avere impedito *oggi* l’attivazione “volontaria” di una app, non lo fermerà di certo.
Al contrario!
Se tale applicazione sarà già installata su milioni di dispositivi, cosa ci potrà fare un Governo in crisi di credibilità e di fiducia?
D'altro canto, è giusto mettere "volontaria" fra virgolette: manca totalmente la consapevolezza dei rischi da parte della popolazione.
Giustificare come "volontaria" l'installazione di un app di sorveglianza di massa è come giustificare come "volontario" l'avvio alla droga di un undicenne. La quasi totalità della popolazione comprende l'informatica quanto un undicenne comprende le conseguenze dell'assunzione di eroina. Forse meno, in effetti.
Credo che siamo e saremo qui apposta per vigilare che non nascano governi del genere.
Scusa Giuseppe se te lo chiedo, ma sei stato all'estero in questi ultimi anni? Meno di un anno fa, abbiamo avuto Matteo Salvini come Ministro degli Interni.
Io c'ero. Ero vigile. Ma non ho potuto impedirlo. E tu?
Cosa ti fa credere che la prossima volta andrà meglio?
Personalmente mi batterò fino alla morte per evitare la nascita di un tale governo scellerato, quando ci sarà un tale rischio.
Ahimè, come dimostrano i governi Berlusconi, tale sacrificio sarebbe inutile.
Non è di eroi che abbiamo bisogno, ma di Cultura diffusa, di prudenza e lungimiranza.
Evitare i disastri è molto più economico che affrontarli. Ma richiede saggezza.
L’upgrade delle app sul tuo cellulare dipende solo da te. Anche questa non sei obbligato a installarla.
Certo. :-)
Per caso disponi di uno studio statistico su come vengono aggiornate le applicazioni installate su un cellulare? Scommettiamo che meno del 10% della popolazione si informa sulle modifiche apportate a tali applicazioni?
Mi dirai che sono affari loro, vittime della propria ignoranza.
Ma in realtà tale ignoranza è causa nostra ed è un pericolo per tutti.
Quanto alla legalità degli abusi: vi ricordate cosa è successo alla scuola Diaz nel 2001?
Non scherziamo. Quella è una vicenda vergognosa che ho condannato in tutti i modi possibili.
Se ti è sembrato che scherzassi, hai frainteso.
Sono serissimo. La tua condanna non guarisce i feriti della scuola Diaz.
I Governi passati in Italia hanno fatto cose orribili e vergognose. Preferisci pensare alla nave Diciotti che è più recente?
E' CERTO che succederà di nuovo. E di peggio. E' incosciente fornire un potere tanto grande ad un Governo in Italia.
Ed è francamente ridicolo credere che un'infrastruttura come questa verrà smantellata a fine anno. Non posso veramente credere che tu sia tanto ingenuo da crederci.
E comunque i responsabili sono stati quasi tutti individuati e condannati. https://it.wikipedia.org/wiki/Processi_e_decisioni_giudiziarie_sul_G8_di_Gen... <https://it.wikipedia.org/wiki/Processi_e_decisioni_giudiziarie_sul_G8_di_Gen...>
Leggi meglio. Ci sono 16 occorrenze della parola "prescrizione" in quella pagina. E 4 occorrenze della parola "indulto".
Per non parlare di questo passaggio:
"Oltre alle impressionanti carriere di molti dei funzionari nel periodo che va dai fatti di Genova alla loro condanna definitiva, ha fatto scalpore la carriera di Gilberto Caldarozzi dopo la condanna in Cassazione e la sospensione; assunto come consulente alla Finmeccanica di cui era presidente l'amico Gianni De Gennaro, capo della polizia ai tempi del G8, è stato nominato vice-capo della Direzione Investigativa Antimafia nel 2017"
Quanto poi al fatto che i responsabili siano stati TUTTI individuati... lasciamo perdere.
Cosa può andare storto?
Tutto, in base alla legge di Murphy, ma i pericoli vanno individuati con precisione per potersi difendere e rimediare.
Talvolta questo non è tecnicamente possibile perché gli attacchi possibili ad un sistema intrinsecamente fragile possono essere infiniti.
E qui parliamo di un colabrodo.
Fasciarsi la testa o avere timore per qualunque cosa possa eventualmente succedere, vorrebbe dire restare paralizzati.
Assolutamente no.
Vuol dire fare test a tappeto. Vuol dire assumere medici ed infermieri. Vuol dire produrre mascherine FFP3 e distribuirle a basso costo. Vuol dire tirar su nuovi ospedali e nuove terapie intensive. Vuol dire fare contact tracing manuale.
Insomma, prova a chiedere a medici di famiglia: ti forniranno un elenco di cose che si dovrebbero fare PRIMA, molto PRIMA di pensare ad App di sorveglianza di massa.
Cose pratiche e di SICURA efficacia.
I rischi dell’uso dell’attuale app sono stati abbondantemente sviscerati, e per quelli sono state date delle risposte, che personalmente considero soddisfacenti.
Di nuovo, non siamo d'accordo.
Per esempio, quando ho spiegato a mia moglie (medico di famiglia) come funzioneranno queste App lei mi ha fatto alcune domande molto intelligenti. Dalle mie risposte ha dedotto che queste App aumenteranno i contagi invece che diminuirli.
La ragione è semplice: chi le installa si comporterà LEGITTIMAMENTE come se non potesse infettare gli altri, fintanto che non riceverà una notifica di contatto.
Inoltre tutti i medici di famiglia, che certamente avranno contatti con infetti, saranno bloccati a casa per mesi.
Io non ho sentito analisi credibili di questi rischi, fin ora. Hai qualche studio in proposito da condividere?
Per tutto il resto, vedremo quando sarà il momento.
Sarà troppo tardi.
Giacomo
Il mondo non è fatto di uno e zero. On Sunday, 10 May 2020, Giuseppe Attardi <attardi@di.unipi.it> wrote:
Riassumo il tuo pensiero in questi punti, per vedere se ho capito: 1. Non ci possiamo fidare del governo (dice che cancellerà i dati, ma non ci si deve fidare)
Più che altro, non possiamo affidare QUESTO potere, impossibile da controllare, ad un Governo. Perché non potendone tecnicamente rispondere, tale potere sarebbe irresponsabile, impossibile da bilanciare con un altro potere in mano ad un'altra parte dello stato.
2. Contro gli atti di un governo legittimo, anche se non ci piacciono, non si può fare nulla, nemmeno se sono contro la legge, nemmeno la magistratura.
Anche illegittimo, per la verità. Non mi risulta che gli atti e le leggi scritte dai governi eletti con il Porcellum siano stati annullati dopo che la loro elezione è stata riconosciuta come incostituzionale. Dunque sì, offrire ad un Potere dello stato uno strumento di controllo di massa sperando poi che la Magistratura possa contenerlo, è veramente ingenuo. I Magistrati sono uomini. La morte di Falcone e Borsellino dovrebbero ricordarci sempre che non possiamo buttare solo sulle loro spalle tutto l'equilibrio dello Stato. La Giustizia e la Democrazia sono sulle nostre spalle. Ma vorrei restare sul tema.
3. Infatti ci sono stati già governi scellerati, e non abbiamo potuto farci nulla.
Né siamo morti per impedirlo. Gli eroi servono a poco. Ma nel mondo reale sono comunque pochi.
4. C’è “ben altro” che si dovrebbe fare.
Oh... Benaltrismo. :-D Beh hai ragione, per essere gentile ho posto l'uso di sorveglianza di massa come qualcosa di irrilevante, non di terribilmente dannoso. Scusami, sarò più chiaro. Qualsiasi sistema di sorveglianza di massa: - aumenterà i contagi - distruggerà le nostre libertà Dunque non soli NON SERVE, ma sarà NOCIVO PER LA SALUTE e DELETERIO PER LA DEMOCRAZIA. Poi se chiedi alternative ai medici ti diranno quello che ti ho riportato. Così non è più benaltrismo, giusto?
5. I cittadini sono ignoranti, per causa nostra (“noi di nexa” immagino, che non sappiamo insegnargli qual è il bene per loro).
Ahimè questo è vero. Citare Nexa è un argomento fantoccio piuttosto goffo, Giuseppe. Nexa è un faro in questi tempi oscuri. Ma la responsabilità è nostra. Mia, tua e di tutti gli informatici che accettando questa ignoranza come normale ed inevitabile (e spesso approfittandone) rafforzano questo stato di cose.
Se è così, di che cosa stiamo a discutere?
Di realizzare un'infrastruttura di sorveglianza di massa (nociva per la salute), di distribuirla capillarmente sul territorio, di affidarla agli attuali governi e sperare che vada tutto bene. Lo so, è incredibile. Ben prima di studiare informatica, bisognerebbe studiare bene storia.
— Beppe PS Tra l’altro non mi hai davvero risposto su come una alzata di scudi oggi contro una app ci potrà proteggere da un futuro governo scellerato, che ad esempio obbligasse tutti a installarne una che davvero facesse sorveglianza di massa.
Diffondendo consapevolezza. Se noi informatici ci battiamo CONTRO una app (nociva per la salute E la democrazia), il dibattito informerà i cittadini. Se NOI spieghiamo che non può funzionare per contenere il virus MA comprometterà per sempre la libertà dei cittadini, quel meme si radicherà nella popolazione. Se spieghiamo che il soluzionismo tecnologico non produce soluzioni, la gente diventerà giustamente sospettosa nei confronti di chi lo propone. E quel governo scellerato farà più fatica ad ottenere il potere. Avremo anticorpi. Invece, se accogliamo queste app, anche se non funzioneranno, anche se saranno nocive, le persone impareranno che un App POTREBBE essere una soluzione ad una crisi di scala mondiale. E la responsabilità, quando questa ignoranza verrà abusata, sarà anche nostra. O meglio, per essere precisi (non vorrei pensassi di nuovo che mi riferisco a Nexa :-D): la responsabilità sarà _anche_ di coloro che OGGI hanno sostenuto o approvato questa ridicola "sorveglianza privacy-friendly". Giacomo
cio, senza replicare a tutto, risalendo fino a Lo spirito delle leggi e all'ODHIR, mi concentro sul punto tecnico (*) On 09/05/2020 21:13, Giuseppe Attardi wrote:
I rischi dell’uso dell’attuale app sono stati abbondantemente sviscerati, e per quelli sono state date delle risposte, che personalmente considero soddisfacenti.
credo che questo nn sia stato preso nella dovuta considerazione https://www.cybersecurity360.it/nuove-minacce/app-di-contact-tracing-e-vulne... credo anche che la mitigazione tecnica sia complicata, in ragione della scelta di base apparentemente effettuata, e che la mitigazione normativa sarebbe semplice; vediamo se sara' implementata ciao, s. (*) che poi e' anche il senso della mia mail prcendete in cui facevo un parallelo con la telefonia mobile e, rispetto alla polarizzazione si/no, invitavo a riflettere sul "come", peraltro con scarso successo essendomi stato risposto che una procedura che prevede che uno dichiari direttamente ai propri peer di essere positivo era commendevole, ma non cosi' un meccaismo di comunicazione anonima -- reserve your meeting with me at https://cal.quintarelli.it
Buongiorno Giuseppe, ho letto attentamente le tue critiche al "modus cogitandi" di chi, come me, preferisce non avere un app piuttosto che averla... e continuo ad essere in sereno disaccordo, praticamente totale :-) Giuseppe Attardi <attardi@di.unipi.it> writes:
L’articolo è chiaro e ragionevole.
Concordo, in particolare vorrei sottolineare una cosiderazione che troppo spesso nel dibattito pubblico viene quasi sempre ignorata: --8<---------------cut here---------------start------------->8--- La scelta quindi non è e non deve essere tra privacy e salute. In una democrazia, privacy e salute devono essere garantite allo stesso tempo. La storia ha dimostrato più volte che prediligere un diritto individuale a scapito di un altro è un gioco pericoloso che porta spesso a perderli entrambi, con conseguenze gravi e irreversibili. --8<---------------cut here---------------end--------------->8--- ...soprattutto quando ci siamo fatti prendere dal panico, mi permetto di aggiungere.
La mia interpretazione è che i rischi di sicurezza del protocollo DP-3T, dipendano fondamentalmente da fattori esterni alla app stessa, imputabili ad atti malevoli
Tipo quelli che quotidianamente sono effettuati da svariate, cito Gadotti, «autorità sufficientemente potente e determinate»? :-) Andrea Gadotti è un gentiluomo e tra gentiluomini non è necessario fare nomi e cognomi per capire a quale insieme di autorità ci stiamo riferendo, no? :-)
e quindi illegittimi e punibili.
Illegittimi nei sistemi civili, punibili nei sistemi dove la giustizia riesce a dimostrare la responsabilità penale di qualhe persona o civile di qualche persona o ente.
Ad esempio, riguardo al DP-3T:
Questo potenzialmente consente al server di associare questi codici alla stessa persona. In questo caso, l’utente diventa potenzialmente reidentificabile e tracciabile, ma solo retroattivamente e limitatamente al periodo di infezione.
A parte il fatto che la persona infetta è completamente identificata, visto che sono i medici ad averlo diagnosticato,
Ammetto di non conoscere le procedure tradizionali di contact tracing in questo dettaglio e nemmeno come vengono eventualmente digitalizzate e trattate le informazioni raccolte, ma io mi auguro che sia riconosciuta e garantita la riservatezza dell'identità; detto in altre parole secondo me non c'è bisogno che il ministero della salute (o qualsiasi altra istituzione) abbia la lista degli infetti, a loro dovrebbe bastare il dato aggregato. Il medico ha la deontologia professionale "embedded" :-D Detto in altre parole io _non_ temo le autorità sanitarie locali, ma che svariate «autorità sufficientemente potenti e determinate» abbiano mezzi e interessi per tenere sotto sorveglianza globale intere fasce di popolazione _anche_ sotto il profilo sanitario.
l’atto di “potenzialmente tacciabile" (non si spiega come, ma presumibilmente attraverso altri dati, anch’essi usati illegittimamente),
Non spiega tecnicamente come ma rimanda al paper https://github.com/DP-3T/documents/blob/master/Security%20analysis/Privacy%2... che lui sintetizza così: --8<---------------cut here---------------start------------->8--- DP-3T (e, in modo simile, il protocollo di Apple e Google) include diversi meccanismi per rendere estremamente difficile, se non impossibile, effettuare questo attacco in modo retroattivo da parte di utenti che utilizzano l’app originale. Questi meccanismi sono molto tecnici, quindi rimando al white paper di DP-3T per i dettagli. Purtroppo, questi sistemi di protezione possono essere aggirati da un utente sufficientemente esperto e determinato che decida, in modo proattivo e premeditato, di modificare il funzionamento dell’app in modo da registrare l’ora esatta in cui avviene ogni contatto. --8<---------------cut here---------------end--------------->8--- Riferendosi ai rischi per sistemi centralizzati come ROBERT, Gadotti cita anche il "Sybil attack": ebbene quell'attacco non è problematico "solo" per i sistemi centralizzati (i sistemi centralizzati si ammazzano da soli in relazione all'anonimato) ma è uno di quelli più subdoli *anche* (soprattutto?) per sistemi distribuiti; questa classe di attacchi (assieme ad alcuni altri di classe "architetturale") dimostrano che l'unica cosa seria da fare sarebbe buttare via Internet e farne una nuova :-O Per risolvere questo problemino, GNUnet propone - in una articolata nuova architettura di rete - una cosa che chiama «CADET: Confidential Ad-hoc Decentralized End-to-End Transport» (cito questa perché conosco questa, magari ce ne sono altri altrettanto validi), giusto per dire che non dobbiamo proprio partire da zero su queste cose.
sarebbe un atto illegittimo dell’autorità sanitaria, che utilizza dati al di fuori di quanto le è consentito.
Innanzi tutto _dipende_ dalla giurisdizione nella quale vive il cittadino, diamo per scontato che in Italia possiamo fidarci che l'autorità sanitaria non commetta atti illeciti. In seconda (anzi prima) battuta, ripeto: «autorità sufficientemente potente e determinata potrebbe decidere di sfruttare un sistema centralizzato per fini di sorveglianza di massa.» (cito Gadotti) ...e anche decentralizzato, considerata la gamma di attacchi a disposizione di autorità potenti e determinate.
Altro rischio potenziale ipotizzato è che una persona malevola, vada a ricostruire con chi si trovava in un certo intervallo (a lui sconosciuto in quanto di durata casuale), con una singola persona che evidentemente conosca, da cui potrebbe ricostruire che fosse infetta.
Questo scenario è esattamente quello usato per il Sybil Attack; è quello che rende possibile la deanonimizzazione da parte di un attore sufficientemente potente e determinato, senza una app e una rete per effettuarlo in modo massivo, sistematico e automatizzato il Sybil Attack per non sarebbe possibile.
Ma questo succede anche senza app. Se il medico mi dice che sono stato contagiato, presumibilmente in un arco di 2-3 giorni e io ricordo che in quei giorni non ho avuto contatti non protetti con nessun altro se non con un singolo individuo, potrei concludere che tale individuo fosse infetto.
Hai esemplificato _perfettamente_ la differenza che c'è tra sorveglianza di massa e sorveglianza personalizzata: la sorveglianza personalizzata _può_ essere regolamentata e sottoposta ad una adeguato controllo da parte del combinato disposto legislativo e sanzionatorio [1], quella di massa _no_ (il combinato disposto legislativo e sanzionatorio in questo ambito è un casino praticamente irreparabile). In altre parole, quando c'è di mezzo una app che comunica via Internet, la possibilità di mettere in piedi sistemi di sorveglianza globale è concreta; farlo "manualmente" (senza app) implica che la sorveglianza sia per forza di cose _individuale_ e di conseguenza ci si augura sottoposta ad adeguate regole nei paesi civili. A questo proposito trovo interessante quanto scrivono le persone del progetto secushare.org in https://secushare.org/society: --8<---------------cut here---------------start------------->8--- How we can deal with lawful interception secushare is intended to protect from bulk surveillance, at least on the technological layers it operates on. Its threat model however does not impede targeted surveillance of dangerous individuals, either by using social means of infiltration of dangerous groups or by using technical means of subversion of hardware of individuals. Don't count on us being in favour of any further measures for lawful access while the Internet is totally broken. First we deal with the big problem, then we talk about the small one. --8<---------------cut here---------------end--------------->8--- Trovo spettacolare la frase: «First we deal with the big problem, then we talk about the small one.», lo trovo un atteggiamente estremamente equilibrato e pragmatico.
Chiediamo alla app di dare maggiori garanzie d quante ne esistano nella normale realtà.
Sì, per i motivi illustrati sopra... e comunque, purtroppo, la sorveglianza di massa è la normale realtà :-)
Sappiamo che nessuna tecnologia è perfetta e può essere utilizzata per fare danni. Ma siccome gli usi illegali non possono essere impediti, va valutato il rischio, ossia il prodotto tra il danno e la probabilità che esso accada.
Fai conto che la probabilità che accada che quel dato (questa persona è infetta) venga inglobato nel sistema di sorveglianza globale è pari a 1... 0.98 vah :-) ...io non sono capace di valutare il danno, so solo che personalmente preferirei starne fuori da un tale sistema.
Nella vita normale siamo abituati ad accettare rischi, se sono sotto un certo livello, e abbiamo modi di mitigarli, porvi rimedio o tollerare.
Probabilmente il rischio del non usare la app, non solo individuale ma collettivo, è superiore rispetto al rischio di non usarla.
Tieni presente che qui stiamo parlando solo del richio privacy, e mi pare che il rischio sia valutato come "attuale e concreto" da diverse persone competenti in materia. Di contro, io non ho ancora capito esattamente quale sarebbe il rischio per la salute pubblica collettiva di non adottare una app: non sapere esattamente chi è infetto senza neanche aver tentato con mezzi "manuali"? Dover fare tamponi a tappeto in carenza periodica di forniture mediche specifiche? Dover rimandare la fase-2 di altri tre mesi perché la app è fondamentale e senza quella niente fase-2? In caso di assenza di app quale sarebbe il rischio per la salute collettiva, cioè il prodotto del potenziale danno per la probabilità? Sarebbe significativamente inferiore? Sempre se siamo d'accordo con il principio: «La scelta quindi non è e non deve essere tra privacy e salute. In una democrazia, privacy e salute devono essere garantite allo stesso tempo.»
Noi lasciamo girare persone in motocicletta, anche se sappiamo che possono fare danni a se stessi e ad altri, ma gli imponiamo di seguire il codice della strada e di indossare il casco (ma si può morire anche indossandolo). Se non rispettano le regole, multiamo solo loro, non aboliamo l’uso delle motociclette per tutti.
Sì e non mandiamo nemmeno in giro i motociclisti con una telecamera sempre accesa connessa a un GPS che invia i dati su velocità, giri del motore, livello alcolemico e via discorrendo... per la loro e nostra sicurezza :-) [...] Cordiali saluti, Giovanni [1] per esempio sanzionandomi _pesantemente_ nel caso pubblicassi che Tizio è infetto perché l'ho incontrato il giorno tal dei tali. (A parte il fatto che probabilmente, si dice, più del 70% della popolazione si è infettato) -- Giovanni Biscuolo
On 09/05/2020, Giovanni Biscuolo <giovanni@biscuolo.net> wrote:
La mia interpretazione è che i rischi di sicurezza del protocollo DP-3T, dipendano fondamentalmente da fattori esterni alla app stessa, imputabili ad atti malevoli
Tipo quelli che quotidianamente sono effettuati da svariate, cito Gadotti, «autorità sufficientemente potente e determinate»? :-)
Andrea Gadotti è un gentiluomo e tra gentiluomini non è necessario fare nomi e cognomi per capire a quale insieme di autorità ci stiamo riferendo, no? :-)
Avrà considerato nel computo organizzazioni criminali come la camorra, la 'ndrangheta o la mafia? Qualcuno crede davvero che queste organizzazioni non dispongano delle competenze necessarie a violare un sistema di contact tracing? Le avranno considerate i fautori di tale sistema? Qualcosa mi dice che non c'hanno pensato minimamente. Giacomo
Caro Giacomo, Giacomo Tesio <giacomo@tesio.it> writes:
On 09/05/2020, Giovanni Biscuolo <giovanni@biscuolo.net> wrote:
[...]
Andrea Gadotti è un gentiluomo e tra gentiluomini non è necessario fare nomi e cognomi per capire a quale insieme di autorità ci stiamo riferendo, no? :-)
Avrà considerato nel computo organizzazioni criminali come la camorra, la 'ndrangheta o la mafia?
A dire la verità non ci stavo pensando di striscio nemmeno io... e non che non ritenga queste organizzazioni criminali potenti e pericolose, ma non andiamo OT La realtà è che mi pare che non ci sia nessuna evidenza storica che queste organizzazioni criminali siano interessate ad instaurare un sistema di sorveglianza di massa, semmai uno "ad personam". Le autorità a cui ci riferiamo io e Gadotti sono _istituzionali_ e legittimamente (forse, chissà, si dice) operanti per conto di quache governo straniero :-)
Qualcuno crede davvero che queste organizzazioni non dispongano delle competenze necessarie a violare un sistema di contact tracing?
Non conosco lo stato dell'arte dei crimini informatici delle organizzazioni mafiose; da una rapida ricerca mi pare che siano marginali, al massimo qualche "ransomware" [1]... roba piuttosto innoqua dal punto di vista della sorveglianza globale, insomma. Senza dubbio qualsiasi organizzazione criminale può facilmente acquisire le competenze per violare un sistema informatico, tuttavia non mi pare abbiano incentivi a farlo nei confronti di un sistema di contact tracing... a meno che sia ipotizzabile un traffico di dati sugli infetti da covid-19 sul mercato nero che sia sufficientemente lucroso, ma qui sono totalmente ignorante e chiederei lumi a qualcono che conosce casi simili. Piuttosto, per dare la giusta prospettiva a questo livello di discorso, io inviterei tutti gli informatici a evidenziare nei confronti dei decisori politici il fatto che spesso le vulnerabilità utilizzate (e talvolta introdotte apposta) per contrastare il crimine - dalle mafie ai terroristi internazionali passando per i cartelli della droga - sono utilizzate _specificamente_ per commettere crimini, per esempio per il ransomware :-O Insomma: gli stati e le agenzie preposte non hanno il monopolio delle vulnerabilità; questo a me non pare sufficientemente chiaro a chi si balocca con le vulnerabilità. ...però le agenzie di cui sopra hanno praticamente il monopolio della sorveglianza globale [2], perché sono le sole ad avere sufficiente potere; questo non vuol dire che non ci siano _anche_ privati ufficialmente o ufficiosamente autorizzati a mettere il naso nella sorveglianza globale e a trarne vantaggi. Qualche volta capita pure che criminali riescano a compromettere la sicurezza delle agenzie o di quei privati e rubare qualche tonnellata di dati oppure il software usato per compromettere sistemi altrui, oibò!
Le avranno considerate i fautori di tale sistema? Qualcosa mi dice che non c'hanno pensato minimamente.
Credo che nel threat model del contract tracing via App questo tipo di scenario sia trascurabile rispetto a quello dell'intercettazione di queste informazioni per arricchire i già colmi database di sorveglianza globale. Ciao, Giovanni [...] [1] https://palermo.repubblica.it/cronaca/2019/12/16/news/palermo_-243636112/ [2] https://en.wikipedia.org/wiki/Global_surveillance -- Giovanni Biscuolo
Caro Giovanni, senza in alcun modo volerti offendere, tempo che tu non abbia ben presente come funzionano questo tipo di organizzazioni malavitose. Hanno un interesse ENORME a controllare precisamente i territori in cui operano. Certamente tengono sotto stretto controllo i propri affiliati, ma la loro capacità di controllare la popolazione è ridotta in precisione e scala da fattori economici. On 12/05/2020, Giovanni Biscuolo <giovanni@biscuolo.net> wrote:
La realtà è che mi pare che non ci sia nessuna evidenza storica che queste organizzazioni criminali siano interessate ad instaurare un sistema di sorveglianza di massa, semmai uno "ad personam".
[...] non mi pare abbiano incentivi a farlo nei confronti di un sistema di contact tracing...
Immagine che potenziale ricattatorio avrebbe la possibilità di ricostruire il grafo dei contatti dei cittadini di una città come Roma o Milano. Al di là del COVID-19: immagina di poter sapere chi incontra chi e con quanta frequenza semplicemente installando un piccolo Raspberry PI in tutti gli esercizi che ti pagano il pizzo. Magari in cambio di un piccolo sconto. Il tipo di avversari governativi che immagini tu costituisce un piccolo sottoinsieme delle organizzazioni che potrebbero ignorare la foglia di fico della sicurezza del Contract Tracing. Un sottoinsieme pericolosissimo per carità, ma un sottoinsieme.
Le avranno considerate i fautori di tale sistema? Qualcosa mi dice che non c'hanno pensato minimamente.
Credo che nel threat model del contract tracing via App questo tipo di scenario sia trascurabile rispetto a quello dell'intercettazione di queste informazioni per arricchire i già colmi database di sorveglianza globale.
Io temo che non sia affatto trascurabile, invece. Le organizzazioni malavitose utilizzano sempre molto abilmente ogni falla dello Stato. E qui si intende aprire una voragine (pealtro inefficace o nociva contro la pandemia). I GAFAM sono il problema che abbiamo tutti davanti agli occhi e che i politici non hanno il coraggio, l'interesse o la capacità di risolvere. Ma esistono molti altri avversari, ben infiltrati nello Stato, e non meno pericolosi. Giacomo
participants (4)
-
Giacomo Tesio -
Giovanni Biscuolo -
Giuseppe Attardi -
Stefano Quintarelli