[nexa] Link alla petizione per l'approccio Singapore

Giovanni Biscuolo g at xelera.eu
Tue Mar 31 11:04:33 CEST 2020


Buongiorno Giuseppe,

la soluzione AIxIA che avete proposto è descritta in qualche documento
ufficiale e pubblicato?

Giuseppe Attardi <attardi at di.unipi.it> writes:

[...]

> Con la nostra proposta non c`è bisogno di caricare nessuna app: è
> sufficiente un qualunque dispositivo dotato di bluetooth.

Quindi l'UUID verrebbe memorizzato (in forma crittografata) non sul
dispositivo di un altro utente col quale abbiamo avuto prossimità ma su
uno o più server cetralizzati (il *cloud*), giusto?

Se l'UUID fosse fisso allora anche un RFID svolgerebbe egregiamente il
suo compito, progettato appositamente per il location tracking :-)

> Ad esempio un braccialetto fitness da 20€ può bastare.

Riprogrammabile? Avete già pubblicato un proof-of-concept del software?

Pensate di riutilizzare il software del progetto
https://github.com/covid19risk?

Pensate di utlizzare smart-watch già in commercio con Android/iOS con
sistema operativo "vendor provided" o uno ancora da commercializzare (o
regalare) e con sistema operativo libero da blob proprietari?

Oppure uno può acquistare un braccialetto a caso e utilizzarlo col
software standard, tanto l'UUID corrisponde al MAC address del
dispositivo (48-bit)?

> La nostra proposta prevede che le app di raccolta della posizione sia
> dispiegate nei locali pubblici, nei negozi, esponendo un cartello che
> ne dichiara la presenza.

E a chi fosse sprovvisto del braccialetto identificativo cosa facciamo?
Non lo facciamo entrare perché potrebbe essere contagioso e non
collabora?

E quando poi l'emergenza sarà finita, cosa potrò dire io a coloro che mi
vieteranno di entrare in un locale perché sprovvisto di apposito
braccialetto identificativo?

Perché questo è il **principale** argomento sul piatto, in questo
universo di discorso, vero?

> La app riceve solo l’UUID el dispositivo e nient’altra informazione
> sull’utente.

E per de-anonimizzare un sistema del genere non basterebbe "qualcosa" o
qualcuno che associ l'UUID al volto o altro elemento identificativo
della persona?  In Cina hanno un efficacissimo sistema di riconoscimento
facciale in grado di associare una notevole mole di metadati ai volti
delle persone, si tratta "solo" di acquisire anche le scansioni degli
UUID.

Più banalmente, chiunque potrebbe mettere in pista un sistema casareccio
e semi-manuale di associazione del UUID [1] con i propri amici, nemici,
clienti, fornitori.... quando l'utente poi si identifica pure con altri
mezzi automatici tipo tessere e robe analoghe allora la cosa è
decisamente più facile, chessò, tipo quando qualcuno paga via POS...

Il vostro sistema che tipo di meccanismi anti de-anonimizzazione
prevede?

Il vostro sistema che tipo di meccanismi anti-spoofing o furto di
indentità prevede?

Lo so, lo so che tanti di quelli che stanno leggendo mi considerano un
filino paranoico, ma la storia passata e recente in merito ai sistemi di
sorveglianza globale *e* di insicurezza dei dispositivi e del software
non è da ignorare quando si progettano queste cose.

[...]

Grazie, Giovanni



[1] a casa mia lo posso fare sia via Blutooth che via WiFI :-)

-- 
Giovanni Biscuolo

Xelera IT Infrastructures
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 832 bytes
Desc: not available
URL: <http://server-nexa.polito.it/pipermail/nexa/attachments/20200331/b3c82f4e/attachment.sig>


More information about the nexa mailing list