Closed potiuk closed 4 years ago
SeraMoon
commented
4 years ago O niedyskryminacji traktuje artykuł 14 Europejskiej Konwencji Praw Człowieka. Należy zwrócić uwagę, że wymieniony tam katalog właściwości jest otwarty, toteż samo posiadanie telefonu lub nieposiadanie nie może wpływać czy do sklepu dana osoba zostanie wpuszczona poza kolejką / "ponadmiarowo".
miklobit
commented
4 years ago To być może temat na osobne issue ale też dotyczy kodów QR: pomysł ze statycznymi kodami drukowanymi i wystawianymi gdzieś w centrach handlowych ( zakres funkcjonalności dla wersji 3.1) może mieć taki efekt, że osoba z potwierdzonym zakażeniem zeskanuje hurtem wszystkie takie kody (których publiczna lista na pewno szybko powstanie jeśli nie będą często zmieniane) i wywoła fałszywy alarm w aplikacji "dla instytucji". I będzie mogła taki alarm powtarzać dowolnie często. A instytucja, zgodnie z założeniami, nie będzie wiedzieć czy to fejk czy faktyczna obecność i kiedy miała miejsce.
potiuk
commented
4 years ago To być może temat na osobne issue ale też dotyczy kodów QR: pomysł ze statycznymi kodami drukowanymi i wystawianymi gdzieś w centrach handlowych ( zakres funkcjonalności dla wersji 3.1) może mieć taki efekt, że osoba z potwierdzonym zakażeniem zeskanuje hurtem wszystkie takie kody (których publiczna lista na pewno szybko powstanie jeśli nie będą często zmieniane) i wywoła fałszywy alarm w aplikacji "dla instytucji". I będzie mogła taki alarm powtarzać dowolnie często. A instytucja, zgodnie z założeniami, nie będzie wiedzieć czy to fejk czy faktyczna obecność i kiedy miała miejsce.
To jest fantastyczna uwaga. Myślę że Niebezpiecznik podejmie temat.
Drukowane, statyczne QR cody są w tym modelu bardzo podatne na tego rodzaju atak. Wystarczy że osoba która już domyśla się że jest chora weżmie sobie na cel centrum hadlowe, czy nawet sieć i w ciągu dnia "odwiedzi" kilka takich centrów w kikugodzinnych odstępach nawet nie ruszając się z domu. A potem pójdzie się zdiagnozować.
Fantastyczne narzędzie dla bioterrorstów.
potiuk
commented
4 years ago Fantastyczne narzędzie dla bioterrorstów.
Myślałem jeszcze o tym chwilę i jest to naprawdę realny scenariusz. Wystarczy żeby gdzieś były dostępne publicznie lista tych kodów (można to zrowdsourcować).
Wystarczy że osba wiedząc że jest prawdopodobnie chora:
1) Osoba będzie miała włączoną aplikację ale wyłączoną sieć GSM (żeby z logów GSM nie można wyciągnąć jej lokalizacji). Zdaje się nie ma obowiązku chodzenia z telefonem z włączonym modułem GSM - aplikacja powinna działać również bez tego bo nie komunikuje się z nikim podczas skanowania. Ten moduł z resztą można włączać np. wieczorem po dniu "odwiedzania" galerii handlowych.
2) Nie ruszając się z domu osoba ta wskanuje kody z sieci galerii handlowej w jednym mieście dajmy na to "Pasikonik" w godzinnych odstępach. I będzie tak robiła przez 4 dni.
3) Osoba za parę dni jest diagnozowana jako chora
4) Praktycznie wszyscy klienci sieci Pasikonik w danym mieście idą na kwarantannę.
potiuk
commented
4 years ago @qLb - widzę że zareagowałeś łapką w dół. Ciekaw jestem jaką masz opinię co do tego ataku. Wygląda całkem sensownie według mnie i mocno podważa zasadność całego pomysłu z muzeami (znaczy z centrami handlowymi) jeśli nie zaproponujecie jakiegoś rozwiązania. Ja na razie nie widzę.
qLb
commented
4 years ago @potiuk @miklobit Rozumiem w pelni wasze watpliwosci w stosunku do metody QR code i w wielu przypadkach popieram wasz punkt widzenia.
Prywatnie uwazam, ze aplikacja do QR powinna byc zwykla aplikacja PWA. Nie potrzebujemy zwiekszonej powierzchni ataku na bezpieczenstwo danych uzytkownikow przez "droge na skroty" w powolnym procesie wyjscia z globalnego lock-down'u gospodarczego.
Co do waszych scenariuszy: Nie wiem jak czesto zamierzacie otrzymac pozytywny wynik testu na Covid-19 (ergo zarazic sie i potencjalnie z tego powodu umrzec) ale jak juz pisalem na tym forum zglosic swoje dane moze tylko osoba z pozytywnym wynikiem testu ogloszonym niejawnie (do wgladu personelu medycznego) przez Generalny Inspektorat Sanitarny. Oszukac da sie tylko raz - wtedy gdy jest sie juz chorym, ale prywatnie uwazam, ze uzmyslawianie ludziom zlych praktyk (klamstwa w sytuacji zagrozenia zycia) jest super slaba strategia marketingowa. Przypominam, ze to uzytkownik jest wlascicielem danych i jesli nimi manipuluje moglby odpowiadac z zapisow dotyczacych zlosliwego uzycia oprogramowania ale to juz temat na inne forum.
A moze jednak da sie to zrobic dobrze? W implementacji "opentrace" instytucje moga przeciez zapisywac sie kluczem derywowanym z tymczasowego klucza urzadzenia skanujacego co spowodowalo by, ze rowniez jest tymczasowy i o ile tylko zapewnimy odpowiednie techniki kryptograficzne mozemy doprowadzic do zabezpieczenia danych przed "nieautoryzowanym" dostepem. (wiem rzad i sluzby medyczne i tak moglyby w praktyce z tym zrobic duzo wiecej, ale blagam o ABW,CBA,CBS i konspiracji nie tutaj!)
Przypominam, ze aktywnie pracujemy nad specyfikacja integracji z protokolem Google i Apple od chwili opublikowania schematow, ktore nie sa jeszcze przez nikogo na swiecie zaimplementowane a takze DP-3T, ktorego zalozenia okpublikowano 27 dni temu a my sledzimy je od dnia premiery. Przykro mi, ze wydaje wam sie, ze wszyscy jestesmy od was glupsi, ale to nieprawda.
Niedlugo pojawia sie dodatkowe dokumenty opisujace integracje dla instytucji w ProteGO Safe
Przepraszam za bezposrednia forme ale skoro i tak nie trzymamy sie opublikowanych wytycznych dotyczacych tematow i formatow zgloszen w projekcie ProteGO Safe znajdujacych sie np. tutaj - to poczulem w sobie moc prawdziwego rebelianta.
potiuk
commented
4 years ago @potiuk @miklobit Rozumiem w pelni wasze watpliwosci w stosunku do metody QR code i w wielu przypadkach popieram wasz punkt widzenia.
Prywatnie uwazam, ze aplikacja do QR powinna byc zwykla aplikacja PWA. Nie potrzebujemy zwiekszonej powierzchni ataku na bezpieczenstwo danych uzytkownikow przez "droge na skroty" w powolnym procesie wyjscia z globalnego lock-down'u gospodarczego.
Super. Cieszę sie.
Nie wiem jak czesto zamierzacie otrzymac pozytywny wynik testu na Covid-19 (ergo zarazic sie i potencjalnie z tego powodu umrzec) ale jak juz pisalem na tym forum zglosic swoj wynik moze tylko osoba z pozytywnym wynikiem testu ogloszonym niejawnie (do wgladu personelu medycznego) przez Generalny Inspektorat Sanitarny. Oszukac da sie tylko raz - wtedy gdy jest sie juz chorym, ale prywatnie uwazam, ze uzmyslawianie ludziom zlych praktyk (klamstwa w sytuacji zagrozenia zycia) jest super slaba strategia marketingowa.
Ciekawy chwyt retoryczny. Choć zupełnie nie trafiony. NIe chodzi o mnie i Ciebie, konkretnie tylko o osoby które będa miały trudny moment, albo złą wolę i brak hamulców moralnych. Wśród wpisów które czytamy i widzimy jest dużo takich gdzie ktoś wiedział że jest najprawdopodobniej zarażony (bo np. spędził noc z osobą chorą) ale czekał 10 dni na test i był coraz bardziej zdenerwowany i bezsilny w izolacji. W takiej sytuacji z ludzką psychiką dzieją się różne rzeczy. Zapytaj psychiatrów jak bardzo dużo więcej (zdalnych) sesji terapeutycznych teraz mają. I zupełnie swobodnie jestem sobie wyobrazić kogoś kto po 5 dniach siedzenia w totalnej izolacji bez możliwości wyjścia, ale też bez możliwości stwierdzenia czy faktycznie jest chory, zacznie "wirtualnie" chodzić po sklepach odbijając QR-cody. Myślę że nie wzięcie pod uwagę ludzkiej psychiki, empatii i tego, że ludzie mają własne uczucia i oczekiwania jest jednym z podstawowych problemów tego podejścia w którym traktujemy ludzi jak roboty i myślimy że 10% zniżka i możliwość wejścia bez kolejki załatwi sprawę.
I myślisz że jak się nie mówi o jakimś scenariuszu to on się nie stanie? Jest na to nawet termin "security by obscurity". Bruce Schneier - mój guru jeśli chodzi o bezpieczeństwo wielokrotnie o tym pisał np. tu https://www.schneier.com/blog/archives/2017/06/the_faa_is_argu.html i występował w Amerykańskim Kongresie kiedy mówił o bezpieczeństwie systemów IOT. Tu mówimy o takim "low tech" systemie iOT który zhakować naprawdę łatwo. : https://www.theregister.co.uk/2016/11/16/experts_to_congress_you_must_act_on_iot_security_congress_encourage_industry_to_develop_best_practices_you_say/
Przypominam, ze to uzytkownik jest wlascicielem danych i jesli nimi manipuluje moglby odpowiadac z zapisow dotyczacych zlosliwego uzycia oprogramowania ale to juz temat na inne forum.
No tak. Najlepiej wszystkich straszyć i karać. A jeszcze w dzisiejszym komunikacie Ministerstwa można przeczytać takie oto słowa: "Skuteczność aplikacji ProteGO Safe – co podkreślamy od początku – zależy od zaufania do niej.". Jak to się ma z karami i zapisami ?. Nie wiem.
A moze jednak da sie to zrobic dobrze?
Gogole + Apple zrobili to super. Bez kodów QR. I świetnie. Z resztą zaraz będę czytał świeżą dokumentację którą wczoraj (zgodnie z tym co obiecywali i zapowiadali) wrzucili. W przeciwieństwie do was zanim to wypuścili oficjalnie, żeby dać czas na audyty i integracje.
W implementacji "opentrace" instytucje moga przeciez zapisywac sie kluczem derywowanym z tymczasowego klucza urzadzenia skanujacego co spowodowalo by, ze rowniez jest tymczasowy i o ile tylko zapewnimy odpowiednie techniki kryptograficzne mozemy doprowadzic do zabezpieczenia danych przed "nieautoryzowanym" dostepem. (wiem rzad i sluzby medyczne i tak beda moglyby w praktyce z tym zrobic duzo wiecej, ale blagam o ABW,CBA,CBS i konspiracji nie tutaj!)
Dokładnie tak to robi protokół G+A.
Przypominam, ze aktywnie pracujemy nad specyfikacja integracji z protokolem Google i Apple od chwili opublikowania schematow, ktore nie sa jeszcze przez nikogo na swiecie zaimplementowane a takze DP-3T, ktorego zalozenia okpublikowano 27 dni temu a my sledzimy je od dnia premiery. Przykro mi, ze wydaje wam sie, ze wszyscy jestesmy od was glupsi, ale to nieprawda.
Po prostu zważywszy na to że kody QR nie są możliwe do zrealizowania w protokole G+A jakoś nie chce mi się wierzyć że jednocześnie "implementujecie G+A" i "promujecie instalację apki i użycie QR w sklepach". Może to tylko mnie dziwi że chcecie z jednej strony mieć dużo instalacji i zebrane dane których nie będziecie mogli wysłać (bo działają na zupełnie innej zasadzie) a z drugiej będziecie implementować niekompatybilny protokół. No chyba że chcecie utrzymać oba te systemy równolegle ("no bo przecież już mamy tyle instalacji, i te kody QR"). Do tej pory deklaracje były że G+A zastąpi to co jest teraz. Z wypiekami na twarzy czekam na rozwój sytuacji.
Niedlugo pojawia sie dodatkowe dokumenty opisujace integracje dla instytucji w ProteGO Safe No super. A czy one też obejmą to co trzeba będzie zrobić po integracji G+A (bo to się nie da)? Czy z góry założyliście że jak już się instytucje zintegrują, to tak już zostanie i nie będziecie zmieniać?
Przepraszam za bezposrednia forme ale skoro i tak nie trzymamy sie opublikowanych wytycznych dotyczacych tematow i formatow zgloszen w projekcie ProteGO Safe znajdujacych sie np. tutaj - to poczulem w sobie moc prawdziwego rebelianta.
Ja tak nawet wolę, bo nigdy nie "panowałem". Ale tak z ciekawości - mam nadzieję że nie masz zastrzeżeń do tego tu issue i poprzedniego #123? Oba zostały stworzone w 100% zgodnie z wytycznymi które pojawiły się wczoraj o 2.00 w nocy. Nie wiem co możesz zarzucić moim zgłoszeniom. Są rzetelne, merytoryczne, nie robią wycieczek osobistych, nie ma pytań oznajmujacych, nie są pasywno-agresywne. Są to normalne zgłoszenia "bugów" - w szczególności niespójności między specyfikacją a implementacją. Mam nadzieję że ktoś się do tego odniesie i naprawi albo specyfikację, albo implementację.
qLb
commented
4 years ago @potiuk
Prywatnie uwazam, ze aplikacja do QR powinna byc zwykla aplikacja PWA. Nie potrzebujemy zwiekszonej powierzchni ataku na bezpieczenstwo danych uzytkownikow przez "droge na skroty" w powolnym procesie wyjscia z globalnego lock-down'u gospodarczego.
Skoro juz to ustalilismy to po co ten wyklad z QR i G+A?
Ciekawy chwyt retoryczny. (...)
To nie byl chwyt retoryczny tylko zaznaczam fakt, ze by-design - sam, niewazne jak sparanoizowany nie wcisniesz nikomu false positive a na pewno nie z potwierdzeniem z GIS'u. Zrobisz to tylko na zywo, na lini z Centrum Kontaktu (taki support desk od GIS) i musisz im dyktowac pin - ale to w specyfikacji OT musisz poczytac w przyszlosci. Nikt nikogo tez nie straszy przedstawiam rzetelnie jakie sa konsekwencje dla kogos kto by cos takiego zrobil. Nie zapominajmy o tym.
G+A zrobili to dzis wiec idziesz przeczytac a my probujemy od paru dni ale pilujesz nas od tygodnia :) Za co szczerze dziekuje, bo wiem, ze to frustrujace.
PS. Czy wlasnie porownales nasze mozliwosci wytworcze z wielobilionowymi gigantami technologicznymi Google + Apple?
PPS. Issue jest super, dziekuje!
potiuk
commented
4 years ago To nie byl chwyt retoryczny tylko zaznaczam fakt, ze by-design - sam, niewazne jak sparanoizowany nie wcisniesz nikomu false positive a na pewno nie z potwierdzeniem z GIS'u. Zrobisz to tylko na zywo, na lini z Centrum Kontaktu (taki support desk od GIS) i musisz im dyktowac pin - ale to w specyfikacji OT musisz poczytac w przyszlosci.
Trochę chyba nie rozumiesz - chodzi o "chodzenie" po galeriach CZEKAJĄC na telefon z GIS.
No i myslę że nie będzie żadnych konsekwencji, bo nikt tego nie wykryje.
PS. Czy wlasnie porownales nasze mozliwosci wytworcze z wielobilionowymi gigantami technologicznymi Google + Apple?
Tak. I uważam ze mają dużo wieksze. I skoro na całym świecie ma być takie samo rozwiązanie to może zajmijcie się jego integracją skoro nie macie aż takiej mocy jak oni.
KoderFPV
commented
4 years ago Implementacja kodów QR została odłożona w czasie z wielu względów.
Niebawem oficjalne info w tej sprawie :)
Describe the bug
Planowana implementacja z kodem QR łamie wytyczne EDPB dotyczące aplikacji "Contact Tracing" https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_en.pdf
To Reproduce 1, Instalacja aplikacji
Expected behavior Strona serwerowa (jak opisano w #123) ma możliwość de-anonimizacji użytkowników. ak szeroko opisano w #116 w tym scenaruszu Cloud Functions w systemie mają możliwość połączenie TempID, UID, czasu oraz tymczasowego adresu IP użytkownika w taki sposób, żeby możliwa była de-anonimizacja tych danych - za pomocą logów od operatorów dostępnych dla strony rządowej. Strona rządowa już dziś takie logi może uzyskać na podstawie Ustawa z 15 stycznia 2016 r. o zmianie ustawy o Policji oraz niektórych innych ustaw (Dz. U. 2016, poz. 147). Istnieje też dalsza możliwość połączenia tego z danymi lokalizacyjnymi osób chorych uzyskanych przez rząd na podstawie zapisów w Tarczy 2.0 https://www.rpo.gov.pl/pl/content/koronawirus-tarcza-antykryzysowa-2-0-uwagi-rpo-dla-senatu (pkt "Prawo telekomunikacyjne i pocztowe" podpunkt A.1).
Daje to możliwość lokalizacji użytkowników (nawet nie zdiagnozowanych jako chorych). Jest to niezgodne ze specyfikacją oraz wytycznymi EDPB.
Additional context
Kontekst opisany w #116.
Proponowane rozwiązanie
Rozwiązanie powinno implementować anonimowy protokół zdecentralizowany taki jak https://github.com/DP-3T/documents a najpewniek (najprawdopodobnie tożsamy z DP3-T) https://www.apple.com/covid19/contacttracing/ . Prace nad wrprowadzeniem kodów QR powinny być natychmiast wstrzymane (https://www.gov.pl/web/rozwoj/centra-handlowe oraz https://retailnet.pl/2020/04/29/28015-utrzymany-zakaz-dzialalnosci-kin-wysp-handlowych-i-klubow-fintness/) jak opisane w #119. Działania te wprowadzają dyskryminację osób które aplikacji nie mają (co również jest niezgodne z wytycznymi Europejskiej Rady Ochrony Danych Osobowych).