On 11/08/21 14:57, Giuseppe Naponiello wrote:
> Google, Alexa, o posso evitare e orientarmi su qualcosa di più
> Linuxcentrico?
io eviterei di usare google/alexa e simili poiché sono sempre più
invasivi e limitano/eliminano privacy e libertà di ogni singola persona.
Cose che Debian e il software libero hanno come fondamento.
Non so se avete letto di Apple: ha dichiarato che ora verificherà prima
in automatico la presenza di immagini (filmati? altro?) di bambini
(rapiti, maltrattati, pedopornografia, ...), penso tramite AI, e per i
casi segnalati come positivi ci sarà un loro team interno che visionerà
e per i casi che risulteranno dubbi verrà fatta una segnalazione alle
forze dell'ordine.
In un primo tempo questo verrà fatto su quello caricato nel loro cloud,
ma con il prossimo aggiornamento del sistema operativo avverrà anche su
tutti i dispositivi.
Inoltre Apple ha dichiarato che non condividerà questi suoi strumenti
con le forze dell'ordine.
È vero che la legge USA stabilisce che un'azienda che viene a conoscenza
di maltrattamenti/abusi su minori debba segnalarli alle autorità, ma
tale legge non implica la ricerca attiva.
È vero che maltrattamenti/abusi su minori sono crimini che andrebbero
fermati, ma non per questo un'azienda privata e non forze dell'ordine:
1) può indagare a sua completa discrezione su dati personali dei suoi utenti
2) può accedere e usare dati personali, che potrebbero essere anche
sensibili e a maggior tutela, senza consenso e fare quello che ne vuole,
mostrandoli a terzi (suoi dipendenti e consulenti)
3) tutto questo senza che per le persone "indagate" (tutti i clienti
apple) ci sia un mandato di un giudice che permette tali operazioni
Tenendo conto che un Machine Learning (ML) ha intrinseco una percentuale
d'errore non trascurabile, altrimenti, se è troppo preciso sul campione
usato per addestrarlo, fornirà risultati inattendibili su qualcosa che
si discosta dal campione usato per l'addestramento.
Ci sono già esempi a riguardo proprio in ambito giudiziario, ad esempio
negli USA un uomo è stato arrestato e messo in galera perché per il
riconoscimento facciale era lui il colpevole... fino a quando non si è
scoperto che era un altro...
Inoltre ci sono persone pagate da google/amazon e simili per ascoltare
quanto sentito dai loro aggeggini vocali e in alcuni casi tali
registrazioni sono diventate pubbliche. Tali ascolti sono finalizzati, a
loro detta, per migliorare il servizio... ma, da quello che ho capito
gli utenti coinvolti non erano consapevoli di tali "ascoltatori".
> Di che hardware/software ho realmente bisogno? Serverino, raspberry,
> arduino?
Il grosso problema di tutti gli oggetti IoT è la sicurezza:
* di solito non esistono aggiornamenti di sicurezza
* se esistono può non essere così semplice aggiornarli
* spesso gli utenti non cambiano neanche i parametri di default,
permettendo a chiunque riesce a "raggiungerli" di poterli usare
Tutto questo, ed altro, può permettere ai propri vicini o a qualcuno di
passaggio di controllare la propria casa, da cose abbastanza "innocue"
come spegnere/accendere qualcosa a cose un po' meno "innocue" come
aprire o visionare le telecamere di videosorveglianza, ...
Esistono motori di ricerca GIS a pagamento che indicano quali sono i
dispositivi IoT, router, ... che usano le password di default, che hanno
bug software/hardware, ...
In rete si trovano articoli che parlano di ciò e studi di esperti di
sicurezza che fanno presente tutti i pericoli che si corrono (ad esempio
se hai una macchina "smart" viene aperta e accesa prima che il ladro
arrivi fisicamente ad essa, deve solo entrare e partire).
Purtroppo la nostra società sta andando verso una modalità di vita molto
rischiosa perché si basa su cose che sembrano facilitarci la vita, ma
che in realtà dietro non sono sicure proprio per nulla.
Faccio un esempio di un articolo che ho letto qualche giorno fa: ad un
esperto di sicurezza è stato consegnato un portatile con UEFI, secure
boot, TPM, VPN, ms-windows, ... (tutto quanto indicato dal NIST per un
caso di questo tipo) il portatile era di un utente di un'azienda per
poter lavorare in sicurezza da remoto, ritenendo il tutto sicuro e
inattaccabile. Tale esperto ha impiegato 30 minuti per riuscire ad
estrarre la chiave privata del TPM e sostituire il file eseguibile che
fa partire il login con la riga di comando e in questo modo avere
completo accesso alla rete aziendale.
OK, ha dovuto aver accesso al PC per farcela (ma se l'ipotetico
dipendente è in trasferta, di sicuro lascerà il portatile in hotel
quando esce a cena e in altre occasioni) e indicando come ha fatto si
troveranno delle soluzioni, ma è sbalorditivo il minimo tempo voluto per
riuscire ad estrarre la chiave privata dal TPM (se non erro una volta
che la chiave privata è conosciuta, quell'hardware lo puoi buttare).
Cercando di rispondere alle tue domande, anche se io non implementerei
quello che vuoi fare e lo sconsiglierei vivamente, io non ho mai visto
un progetto che faccia una gestione completa di quello che ci potrebbe
essere bisogno per gestire una casa da remoto, ma ci sono progetti
singoli, ad esempio per gestione telecamere.
Però ora facendo una ricerca ho visto che qualcosa c'è, ad esempio
node-red con licenza Apache 2.0. Però non ho idea di quello che possa
fare o di quanto devi applicarti per poterglielo far fare.
Ciao
Davide
--
I lati oscuri del secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/whitepaper-web
Petizione contro il secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook