W sieci nie brakuje artykułów na temat planowanego śledzenia kontaktów międzyludzkich za pomocą aplikacji mobilnych w celu redukowania skali epidemii. Czas porozmawiać z kimś, kto naprawdę wie i rozumie, jak działa ta technologia.
Z naszymi gośćmi programu Rozmowa Kon Trolowana najczęściej rozmawiamy o tym, jak trafili do bezpieczeństwa, nad czym pracują, czego używają na co dzień w swojej pracy, jak organizują swoje życie zawodowe i jak widzą przyszłość rynku IT security. Widzimy jednak potrzebę uruchomienia drugiego cyklu, w którym będziemy skupiać się na konkretnych problemach z obszaru prywatności i bezpieczeństwa. Na pierwszy ogień bierzemy gorący temat, czyli aplikacje do śledzenia naszych kontaktów w kontekście zagrożenia epidemiologicznego.
Instalować czy nie instalować?
W czwartek o godzinie 21 naszym gościem będzie Jakub Kałużny z firmy Securing. Jakub spędził sporo czasu nad projektowanymi i wdrożonymi już aplikacjami i potrafi świetnie wyjaśniać, czy i czego powinniśmy się obawiać.
Porozmawiamy zatem o tym, jak działają aplikacje do śledzenia kontaktów, czy rzeczywiście da się śledzić użytkowników, czy modele scentralizowane narażają użytkowników na więcej zagrożeń i czy polska implementacja idzie w dobrą stronę. Dowiemy się także, co tak naprawdę oznacza „śledzenie” w kontekście beaconów Bluetooth i czy przyszłe aktualizacje aplikacji mogą wprowadzić pełną inwigilację użytkowników. Na pewno zadamy takie pytania jak:
- Czy właściciel aplikacji, tj. rząd, powinien być traktowany jako zaufana trzecia strona, czy jako potencjalne zagrożenie?
- Co zbierają aplikacje CT i po co? Co mogą zbierać?
- Czy da się to zrobić lepiej? Kody QR, dane od operatorów telekomunikacyjnych?
- Jakie dane są przechowywane na urządzeniu, a jakie na serwerze?
- Czy da się śledzić użytkowników, czy da się powiązać beacony BT z użytkownikami?
- Model scentralizowany vs. zdecentralizowany – czym się różnią?
- Jak wygląda proces zgłaszania się jako zarażony? Czy ktoś może nas oznaczyć jako zarażonych i zmusić do kwarantanny?
- Czy można przeprowadzić atak typu replay/relay, np. rozgłaszać beacony widoczne na oddziale zakaźnym?
- Kto wytwarza polską aplikację i czy upublicznienie kodu gwarantuje, że jest on zgodny z paczką w Google Play / Apple Store?
- Czy to, że aplikacja jest nieobowiązkowa, oznacza, że nie będzie innych zachęt do jej instalacji (niż bycie poinformowanym o ryzyku zarażenia)?
- Jaka skala instalacji aplikacji jest potrzebna, żeby realizować jej cel?
- Czy fake newsy, niskie opinie na Google Play lub publikacje o nieistotnych błędach mogą zdyskredytować aplikację?
- Czy są inne możliwości śledzenia użytkowników, które dałyby lepsze wyniki niż beacony BT lub byłyby istotnie tańsze?
Czekamy też na wasze pytania!
Do oglądania na żywo zapraszamy już w najbliższy czwartek 21 maja o godzinie 21:00 pod poniższym linkiem, a także na naszym profilu FB oraz na stronie naszego programu.
Komentarze
Zwolennikom aplikacji do śledzenia w kontekście walki z Covid-19 polecam do rozważania opinie Bruce Schneier’a na ten temat. W skrócie – pomijając oczywisty aspekt rujnowania prywatności – aplikacje te można określić jako bezużyteczne. Podstawowe powody są „dwa”:
– duża ilość „false positives” – (i) systemy lokalizacji nie są wystarczająco dokładne, (ii) aplikacja nie będzie w stanie wykryć okoliczności takich jak ściany działowe, szyby itp. oraz (iii) nie każdy kontakt powoduje transmisję,
– duża ilość „false negatives” – (i) błędy w lokalizacji aplikacji, (ii) zakażenia od osób, które nie mają aplikacji oraz (iii) wiele zakażeń nie jest wynikiem precyzyjnie zdefiniowanego kontaktu.
Wiadomo… nie instalować i już. Rządowy spyware jak u żółtych, droga do nadużyć może być bardzo szeroka.
witalniaki będą zapewne innego zdania :)
Czekamy na odcinek z P.Koniecznym. Jest w planach?
Myślę, że rozmowa z Piotrem K. jest zbędna. Dostatecznie wiele wypowiedział się na temat tej i podobnych aplikacji u siebie na portalu.
Nie interesuje mnie zdanie P.Koniecznego nt tej aplikacji. Pytanie dotyczyło, czy Z3S planuje nagrać wywiad z tym człowiekiem…
Jest.
Trzeba mieć nieźle zryty beret, aby w ogóle zastanawiać się nad instalacją. Potrzebne to jak umarłemu kadzidło.
Fajny materiał, da radę opublikować to tez jako podcast?
Tak, podcast jest już na spotify, będzie tez na pozostałych platformach, dzisiaj dokończę ładować starsze odcinki i ten tez.