API tools faq
paste
Advertisement
Guest User

+discussione -pietretombali

a guest
Jan 19th, 2022
407
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 12.81 KB | None | 0 0
raw download clone embed print report
  1. Intendevo rispondere al commento di @Fabio Trabattoni (https://www.wumingfoundation.com/giap/2021/11/strange-days-no-green-pass-trieste-3/#comment-47470) e alle lacune e gravi imprecisioni in esso contenute, ma il raggiungimento del limite di 500 commenti sotto quel post non mi permette di postare di là.
  2.  
  3. Eviterei comode (e pericolosamente ipertranquillizzanti) "pietre tombali" su temi così importanti e a malapena sfiorati, visto anche
  4. che le stesse documentazioni (le brochures ministeriali e la documentazione presente nei sorgenti della app) citate da Trabattoni
  5. smentiscono il suo stesso post (come pure, specialmente, un semplice test che si puo'
  6. fare installando la app in questione. Tanto per dirne una: attivare la connessione
  7. è prerequisito per l'uso della app. E anche questo è un dato di fatto. Non è una questione di "creatività". Tantomeno di "complottismo", di cui son stato "accusato" con tanta leggerezza..)
  8.  
  9. @Fabio Trabattoni
  10. Giuste alcune esposizioni di fondo (cript asimmetrica aka a chiave pubblica)
  11. e definizione di qrcode. Ma in linea di massima sembra un collage tra voci
  12. di wikipedia e una brochure dell'app, presa dal sito del ministero, ma anche
  13. questo copiaincolla è abbastanza lacunoso (manchi di considerare alcuni aspetti
  14. problematici che le stesse "brochures" citano)
  15.  
  16. Ho provato varie cose: installare l'app, scaricare i sorgenti da github e
  17. leggere buona parte della documentazione. Quel che emerge è, in sintesi, che:
  18. 1) è *fondamentale* un aggiornamento costante dei dati della CRL. Certificate Revokation List, per evitare sanzioni e malfunzionamenti:
  19. Senza aggiornamento si rischia (gp scadono ogni 24/48h) che passi chi ha gp scaduto o revocato per tampone positivo.
  20. Quindi il controllore rischia multe in caso di un controllo delle fdo.
  21. Oppure si rischia di bloccare chi ha un gp che è (dopo un tampone negativo) tornato valido (era stato revocato per errore o per positività).
  22.  
  23. 2)esistono convenzioni ministero-azienda per il controllo automatizzato del pass. In quel contesto la localizzazione è citata senza imbarazzo nella documentazione.
  24. La presenza viene rilevata tramite il normale badge aziendale, dopodichè il sistema invia al server ministeriale i codici fiscali dei lavoratori che hanno fatto ingresso in azienda quel turno. Il verificatore deve solo controllare che nella lista ottenuta in risposta non vi siano lavoratori sprovvisti di gp o con gp scaduto/revocato.
  25. https://web.archive.org/web/*/https://www.dgc.gov.it/web/sistemi-di-verifica-automatizzati.html
  26.  
  27. 3) connessioni tra app e server: ho fatto un test e la app non si riesce a collegare se (e questo è il mio caso) googleplay, googleplayservices, gsf (framework) son stati disinstallati.
  28. Questo significa che la connessione passa per le librerie google (proprietarie, niente source code aperto) ed è molto probabile venga aggiunto qualche dettaglio compromettente la privacy (es: account google, o una uuid corrispondente all'utenza). Correlazione tra utente-verificatore e "persona verificata" implica correlazione spaziale (geolocalizzazione di ogni singolo uso del GP). Una eventuale collaborazione tra google e governo non è cosa nuova: vedasi app immuni (che altro non è che un frontend per il sw di google e apple)..
  29. Al momento sto esplorando un po' il codice ma ancora non sono arrivato a trovare la parte che si occupa delle connessioni, a parte qualche classe java che nel nome ha "Proxy" (possibile indizio che l'app usa un proxy interno gestito dalle librerie di google play per gli accessi alla rete. Come è noto, google non ama molto l'opensource e immagino (per il momento non ho controllato in maniera piu' approfondita) che le attività di google play services siano closed source e coperte da segreto industriale..
  30. Nota sulla libertà di crearsi una propria versione di VerificaC19: Le FAQ indicano esplicitamente che:
  31. A)è fatto esplicito divieto di modificare la app e il ministero ha il diritto d'autore sulla app.
  32. B)nell'app scaricabile da github son presenti, oltre ad alcuni sorgenti, delle classi java (quindi closed source: per modificarle serve decompilarle .. )
  33. Nota sull'uso: Nelle FAQ viene detto esplicitamente che l'app deve essere usata solo da soggetti incaricati della verifica. Mi domando, anche in questo caso, come possa essere fatta rispettare questa regola se non tramite controlli delle connessioni effettuate dall'app (cioè una verifica di chi, e quindi DOVE, la usa .. )
  34.  
  35.  
  36. Invio di dati:
  37. In varie parti delle FAQ si fa cenno a GP "contraffatti" (?) e al fatto che vengono rilevati. Come? la doc. non lo spiega.
  38. Butto una ipotesi: la app potrebbe inviare (anche in differita) i num identificativi dei certificati (GP) processati,
  39. il server centrale potrebbe così rilevare le persone che "appaiono" contemporaneamente
  40. in luoghi diversi e segnalare il GP per uso improprio (nel senso che qualcuno ha fatto la copia e l'ha ceduta ad altri per l'uso)
  41. Questo il caso del GP copiato.
  42.  
  43. In generale comunque, riguardo alla tutela della privavy ben esposta dal governo (a mo di marketing) mi vien da pensare ad un approccio "a la facebook", dove
  44. di fatto l'ente/azienda spaccia la "confidenzialità" per "privacy".
  45. Sul GP Il problema da capire non è soltanto se il barista o il datore di lavoro estraggono e conservano dettagli personali (vaccinato/tampone/guarito ? ) ma anche e
  46. soprattutto se le operazioni di verifica del GP generino ulteriori dati che poi fanno "leak" verso il governo (ovvero il leak, verso server ministeriali, dei luoghi dove un determinato GP viene utilizzato )
  47.  
  48. Emerge poi dalla documentazione che, almeno nel caso delle aziende, molte ditte possono fare un "controllo automatizzato". Nel senso di fornire, tramite collegamento
  49. adhoc col ministero, i codici fiscali dei lavoratori presenti e fare un controllo totalmente automatizzato. Questo sì che viola il principio di "non informare il
  50. governo degli accessi avvenuti in quel luogo"
  51. https://web.archive.org/web/*/https://www.dgc.gov.it/web/sistemi-di-verifica-automatizzati.html
  52.  
  53.  
  54. Nelle note legali si parla di privacy solo nei termini più volte esposti dal governo ovvero protezione da occhi indiscreti (datori di lavoro e titolari di negozi, ristoranti ecc) dei dati facenti parte del gp verificato. Ma nulla viene detto dei dati accessori che lo stesso atto di verifica del gp puo' generare. Certo, che (ad es.) il ristoratore o il datore di lavoro non possano accedere o archiviare dati medici personali fa piacere, ma mi preccupa anche di piu' l'eventualità che dati accessori (chi e dove ha verificato un gp) finiscano in mano al governo.
  55. https://web.archive.org/web/20211124192549/https://www.dgc.gov.it/web/pn.html
  56.  
  57. C'è una differenza tecnica fondamentale tra privacy e confidenzialità. La privacy consiste nel diritto di un soggetto di decidere la cessione o meno di dati che lo riguardano. Qua invece si tratta di confidenzialità: un governo gestisce dati personali delle persone e decide di negare l'accesso a certi soggetti ... ma non permette alle persone di impedire che nuovi dati personali (accesso ai luoghi) finiscano in mano al governo o di decidere quali dati condividere con esso (il gov non chiede ad ogni persona se acconsente o meno di registrare, ad esempio, il suo accesso al luogo di lavoro o al ristorante ecc. Lo registra e basta. E questo diventa un ulteriore dato in mano al governo, che non verrà mostrato ad "occhi indiscreti" ... Ma quale occhio è peggio di quello del governo stesso?)
  58. E' un po' la stessa filosofia di facebook: "puoi decidere di condividere un subset di cose con un subset di persone da te scelte, ma non puoi impedire che l'insieme completo di quelle info venga archiviato da fb, nè impedire che tali (e altre) info vengano create ed immagazzinate in primo luogo".
  59. ( fb impedisce ai motori di ricerca l' accesso completo alle pagine dei profili. Ma non per "difendere la privacy dei suoi utenti" ma per un principio di confidentiality. Ovvero difendere un segreto industriale. Difendere i propri asset: i dati riguardanti gli utenti sono di fb, non degli utenti stessi).
  60. Confidentiality, in questi due casi è una sorta di "privacy" esercitata per conto terzi.
  61. Ovvero: i dati riguardano te, ma a esercitarne i diritti di privatezza è un soggetto terzo (in questo caso è il governo e nell'esempio appena fatto è facebook)
  62.  
  63.  
  64. sistemi automatizzati:
  65. https://web.archive.org/web/20211205002342/https://www.dgc.gov.it/web/sistemi-di-verifica-automatizzati.html
  66. Tramite l'invio del codice fiscale dei dipendenti entrati in azienda (che corrisponde appunto a sengalare ogni giorno al governo gli accessi di una persona sul posto di lavoro) è possibile fare un controllo in blocco. Per aderire l'azienda deve contattare il ministero (non ricordo se dell'economia o della salute) e la convenzione consiste nell'accesso via rete al server del ministero. Il verificatore deve solo controllare che il governo gli segnali se qualcuno dei presenti è:
  67. 1) sprovvisto di pass
  68. 2) ha pass scaduto
  69. 3) è in regola col pass
  70.  
  71. Una nota sulle ipotesi sulle intenzioni:
  72. Credo sinceramente che un gov autoritario e repressivo
  73. sia portato, trovandosi anche "accidentalmente" a ricevere queste informazioni
  74. (chi controlla il GP e quindi DOVE avviene il controllo e quali GP sono
  75. verificati e quindi a QUALI persone si riferiscono tali localizzazioni),
  76. non ci pensi 2 volte prima di usarle per popolare in automatico (altra def:
  77. informatica = unione di due termini: Informazione + *Automatica*, vien data
  78. in ogni corso iniziale universitario o anche in qualsiasi corso di informatica).
  79. Questo perchè repressione chiama controllo. Senza controllo la repressione
  80. è poco "resiliente" (per usare un termine caro al governo, termine che
  81. in questi ambiti purtroppo calza a pennello) ..
  82.  
  83. Domande senza risposta:
  84. -come segnalare un QR falsificato o copiato? la app dialoga con server facendo
  85. segnalazioni?
  86.  
  87. Nota sulla "privacy monca":
  88. Chi sta in mezzo non puo' intercettare ... ma i dati (criptati o meno) possono finire
  89. a chi gestisce il servizio (il ministero) che si rendenderebbe quindi violatore della privacy di un cittadino.
  90.  
  91. Riguardo le revoche e contraffazioni e usi fraudolenti:
  92. "
  93. La Certificazione verde COVID-19 può essere revocata nei seguenti casi: * test molecolare risultato positivo al SARS-CoV-2 di una persona in possesso di Certificazione verde COVID-19, in corso di validità; * certificazione rilasciata od ottenuta in maniera fraudolenta; * sospensione di una partita di vaccino anti COVID-19 risultata difettosa.
  94.  
  95. Al verificarsi di uno di questi casi, la Piattaforma nazionale-DGC genera una revoca delle certificazioni verdi COVID-19 rilasciate, inserendo i relativi identificativi univoci nella lista delle certificazioni revocate, che vengono riconosciute come non valide in fase di verifica e comunicate al Gateway europeo affinché siano considerate non valide anche negli altri Stati membri."
  96. da: https://web.archive.org/web/20211220000803/https://www.dgc.gov.it/web/faq.html
  97.  
  98. link utili dai quali ho ottenuto informazioni:
  99. https://web.archive.org/web/20211220000803/https://www.dgc.gov.it/web/faq.html#collapse-reverse-rvc001
  100.  
  101. https://web.archive.org/web/20211220000803/https://www.dgc.gov.it/web/faq.html#collapse-reverse-lpp01
  102.  
  103.  
  104. ---
  105. diff tra privacy e confidenzialità: è simile all'approccio di fb (no privacy,
  106. e dati son di proprietà della piattaforma)
  107. La privacy sbandierata dal gov si riferisce a impedire che un cittadino/azienda
  108. visioni/conservi dati personali codificati nel gp di una persona.
  109. Tutto qui. Non riguarda la privacy del cittadino nei confronti dello stato.
  110.  
  111.  
  112. C'è anche da vedere se la app "dialoga" (non via rete ma nello smartphone) con altre
  113. app (Io, Immuni, ecc) governative già installate. Se sì, a quel punto è triviale
  114. l'identificazione e quindi la localizzazione dell'azienda (bar, ristorante, disco ecc).
  115. (con "app che dialogano localmente" si intende roba tipo: fb che dialoga con whatsapp,
  116. app che dialogano con la app fb per permettere un SignOn/SignUp a un servizio
  117. usando le credenziali di fb. Lo stesso puo' avvenire con app di INPS, della regione ecc ecc)
  118.  
  119.  
  120.  
  121.  
  122. "il paese che tutto il mondo ci invidia" (proclama diffuso a reti unificate
  123. da parecchi programmi tv) potrebbe in realtà differirsi di molto dalle numerose
  124. brochures ministerialmente diffuse ..
  125. Andrebbero evitate quindi facilone e ipertranquillizzanti "conclusioni tombali", così come il ricorso alla accusa di complottismo verso chiunque si ponga leciti dubbi sull'onestà del governo.
  126.  
  127. Questo approccio porta ad una tranquillizzazione eccessiva e dannosa, una sorta di
  128. narcotizzazione della ragione ..
  129.  
  130. Quando si discute non è mai una cosa simpatica mettere "pietre
  131. tombali" su una discussione e nemmeno sagia, siccome posson sempre emergere
  132. informazioni prima non note. Quindi ben venga se qualcuno aggiunge informazioni
  133. utili. Ogni nuovo contributo/info è sempre costruttivo (specie in un
  134. contesto/periodo di diffusa opacità governativa)
  135.  
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!