Cerca

Immune… da cosa? L’applicazione per combattere il Covid-19 nella fase 2

Dopo i recenti accadimenti, come la disfatta del sito dell’INPS, vi sono state un susseguirsi di interviste a politici, legali, etc. Non un tecnico, non una sola intervista ufficiale ad un esperto informatico che spiegasse realmente l’accaduto. Se volete averne un esempio basta cercare negli archivi del Senato italiano la accurata disamina fatta dalla Senatrice Nunzia Catalfo che ha riferito dell’accaduto per farsi una idea precisa di cosa è successo (o non è successo).

Adesso è il momento in cui si parla della fase due, di come dovremmo affrontare la riapertura delle attività e ritornare alla nostra vita, ed ancora interpelliamo persone con nessuna esperienza sulla tecnologia per spiegarci l’applicazione per il tracciamento dei positivi al virus.

L’applicazione Immune, che dovrebbe essere quella designata dal governo per il tracciamento volontario al fine di gestire al meglio la possibile ricaduta della pandemia, non è ancora stata illustrata nei suoi dettagli tecnici che già vi sono pseudo esperti che vengono interpellati.

A che fine? A che pro? Forse per creare molta confusione e lasciare gli ignari cittadini nel dubbio che d’ora in poi non avranno una loro vita personale e che tutti sapranno i loro segreti? Facciamo chiarezza: con l’ignoranza con cui mediamente i privati cittadini utilizzano i vari stumenti social non vi era bisogno di una ulteriore applicazione per sapere i loro segreti. Penso che oramai vi siano già sufficienti informazioni utili per sapere persino che tipo di mattonelle hanno in bagno, i loro gusti musicali, dove hanno passato le vacanze negli ultimi 10 anni, le loro attitudini culinarie e le loro relazioni sociali….anche quelle più intime.

La Commissione Europea aveva già dato tutte le linee guida sull’utilità della applicazione e su come doveva essere fatta in data 15 aprile 2020 e vi erano già numerosi draft disponibili ancora prima di quella data. Ma allora come mai i nostri politici si sono dati un gran daffare per quasi due mesi in giro per università, startup e aziende informatiche, raccogliendo più di trecento proposte? Non era sufficiente mettere in pratica quanto già fornito nelle linee guida e senza perdere troppo tempo?

Leggo a soli due giorni dalla notizia della scelta della applicazione una quantità di articoli con interviste che generano inutili dubbi, polemiche e infine il caos. Caos politico, come sempre accade in Italia.

A questo riguardo:

Dovranno essere prese tutte le contromisure necessarie per diminuire la diffusione di questa pandemia, non solo nell’emergenza attuale, ma da qui al futuro, per evitare che un problema simile possa ripresentarsi. La scelta di utilizzare strumenti digitali è indubbiamente un approccio necessario, fatto patto che non vi siano violazioni dei diritti umani, del diritto alla salute, del lavoro e della privacy dei cittadini. Le scelte devono essere prese da persone che hanno competenze in materia digitale. Non possono essere solamente dei legali o politici che dettano le linee guida della tecnologia.

Non penso di avere molte competenze sullo sviluppo di applicazioni mobile, ma mi occupo di Cybersecurity da oltre venti anni in diversi settori e vorrei dire la mia a riguardo. Faccio questo perché nel momento in cui scrivo si sa solo qual è l’applicazione scelta dal governo italiano ma non ci è stata fornita nessuna informazione di tipo tecnico, a mio avviso per approfittare ancora un po’ del caos per la propaganda politica. L’applicazione che dovrebbe essere utilizzata non violerà la vostra privacy. Al contrario, l’utilizzo sconsiderato di altre applicazioni come Facebook, Twitter, Instagram, TokTok, Tinder e chi più ne ha ne metta, l’hanno violata già da un pezzo.

Ecco in parole semplici come dovrebbe funzionare l’applicazione:

Abilitate sul vostro smartphone il Bluetooth Quando entrate in contatto con altre persone che hanno abilitato sul loro smartphone il BT, i cellulari registrano sui dispositivi stessi dati di prossimità dei dispositivi con i quali siete entrati in contatto. Quando una persona ha i primi sintomi di manifestazione del Covid-19 dovrebbe recarsi presso l’ente sanitario preposto per i debiti accertamenti e per effettuare un tampone. Se la persona risulta positiva, previo consenso, permetterà al medico preposto di caricare i dati fino a quel momento registrati sul vostro smartphone su una banca dati comune. Le persone che sono entrate in contatto con voi, nel periodo di incubazione, riceveranno un avviso sul loro smartphone. A questo punto potranno scegliere se mettersi in quarantena volontaria e attuare tutti i dovuti accorgimenti. Perché non vi sarà nessuna perdita della vostra privacy? Ecco che entro nel tecnico e cerco di spiegarvelo.

Le chiavi su cui si dovrebbe basare l’applicazione per il tracciamento sono:

Contact Detection Service: il servizio con cui i due smartphone sentiranno che stanno entrando in contatto fra di loro. E’ basato sul BLE ( Bluetooth Low Energy) che è uno standard, utilizzato già in altre applicazioni. Il BLE e già ampiamente sotto controllo anche dal profilo sanitario per le emissioni radio. Questo è il servizio che permetterà ai due device di “sentire il contatto”. Questo standard non prevede in nessuna maniera dati di geolocalizzazione ed è già attivo sui vostri device da parecchio tempo. Tracing Key: una chiave che viene generata in modo univoco per ogni device. Daily Tracing Key: una chiave che viene generata ogni 24 ore per mantenere la privacy. Diagnosis Key: un sub set delle Daily Tracing Key che vengono caricate su un sistema di tipo cloud quando la persona risulta positiva al Covid (dopo aver dato il consenso alla pubblicazione di questi dati).

Cosa avviene in pratica: Sul vostro smartphone abilitate il Bluetooth che ha già il Contact Detection Service basato sul BLE. Questo servizio è già presente sui vostri device perché se no non sareste mai stati in grado di poter connettere il vostro smartphone con tutti i vari dispositivi che usate giornalmente come auricolari BT, orologi smart, etc. Il vostro smartphone ha già un Tracing Key ed è univoco del vostro cellulare, ma è sul vostro cellulare, da nessuna altra parte. Una funzione di questa Tracing Key già presente al momento è la Bluetooth Random Private Address che cambia ad intervalli di tempo variabili da 5 a 20 minuti. Quando siete in un’area e vi sono altri device con il BT attivo si rileveranno a vicenda. Durante questa rilevazione il servizio BLE memorizza la Tracing Key dell’altro dispositivo (che come abbiamo detto cambia ogni 15 minuti) e la memorizza nell’app.
Quindi memorizzerà tutti i Random Private Address con i quali siete entrati in contatto. Nessun dato privato o di geolocalizzazione. In nessun modo si può risalire agli altri device o alle persone. Quando una persona risulta positiva al Corona Virus darà il suo consenso a caricare su un servizio Cloud i Tracing Key generati dal suo device nel periodo di incubazione: quelli che ho indicato come Daily Tracing Key, quindi non tutti, ma solo un sub set corrispondente al periodo di incubazione.
Ricordatevi bene, i Tracing Key sono cambiati ogni 15 minuti e non hanno dati di geolocalizzazione o riferimenti all’utente. L’applicazione regolarmente e in modalità automatica, confronterà i Daily Tracing Key caricati sul cloud con quelli memorizzati sul dispositivo di ogni singolo utente. Se trova una corrispondenza, avviserà l’utente del contatto con una persona positiva.

Quale violazione della privacy? Nessuna, fino ad ora, a patto che questi semplici passaggi siano rispettati dalla applicazione designata al Tracing, di cui al momento non abbiamo ancora i dettagli. Concorderete con me che se fatta come descritto sopra non vi è nessun problema di privacy, security e vi è un vantaggio per la salute pubblica.

Adesso viene il bello.

Questa (tutto sommato) semplice spiegazione, è frutto di documenti che due colossi (Google ed Apple) che rappresentano quasi la totalità dei sistemi operativi mobile presenti sul mercato hanno reso pubblici, congiuntamente, per agevolare la creazione di queste applicazioni. Non si doveva fare uno studio, era già tutto li, disponibile. Bastava solo usare quello che c’era già, che era attivo, testato ed approvato da anni dalle diverse entità a tutela della salute, della privacy e delle leggi.

Simone Fratus – Cyber Security Specialist