On 11/08/21 14:57, Giuseppe Naponiello wrote:
Google, Alexa, o posso evitare e orientarmi su qualcosa di più
Linuxcentrico?
io eviterei di usare google/alexa e simili poiché sono sempre più invasivi e
limitano/eliminano privacy e libertà di ogni singola persona. Cose che Debian
e il software libero hanno come fondamento.
Non so se avete letto di Apple: ha dichiarato che ora verificherà prima in
automatico la presenza di immagini (filmati? altro?) di bambini (rapiti,
maltrattati, pedopornografia, ...), penso tramite AI, e per i casi segnalati
come positivi ci sarà un loro team interno che visionerà e per i casi che
risulteranno dubbi verrà fatta una segnalazione alle forze dell'ordine.
In un primo tempo questo verrà fatto su quello caricato nel loro cloud, ma
con il prossimo aggiornamento del sistema operativo avverrà anche su tutti i
dispositivi.
Inoltre Apple ha dichiarato che non condividerà questi suoi strumenti con le
forze dell'ordine.
È vero che la legge USA stabilisce che un'azienda che viene a conoscenza di
maltrattamenti/abusi su minori debba segnalarli alle autorità, ma tale legge
non implica la ricerca attiva.
È vero che maltrattamenti/abusi su minori sono crimini che andrebbero
fermati, ma non per questo un'azienda privata e non forze dell'ordine:
1) può indagare a sua completa discrezione su dati personali dei suoi utenti
2) può accedere e usare dati personali, che potrebbero essere anche sensibili
e a maggior tutela, senza consenso e fare quello che ne vuole, mostrandoli a
terzi (suoi dipendenti e consulenti)
3) tutto questo senza che per le persone "indagate" (tutti i clienti apple)
ci sia un mandato di un giudice che permette tali operazioni
Tenendo conto che un Machine Learning (ML) ha intrinseco una percentuale
d'errore non trascurabile, altrimenti, se è troppo preciso sul campione usato
per addestrarlo, fornirà risultati inattendibili su qualcosa che si discosta
dal campione usato per l'addestramento.
Ci sono già esempi a riguardo proprio in ambito giudiziario, ad esempio negli
USA un uomo è stato arrestato e messo in galera perché per il riconoscimento
facciale era lui il colpevole... fino a quando non si è scoperto che era un
altro...
Inoltre ci sono persone pagate da google/amazon e simili per ascoltare quanto
sentito dai loro aggeggini vocali e in alcuni casi tali registrazioni sono
diventate pubbliche. Tali ascolti sono finalizzati, a loro detta, per
migliorare il servizio... ma, da quello che ho capito gli utenti coinvolti
non erano consapevoli di tali "ascoltatori".
Di che hardware/software ho realmente bisogno? Serverino, raspberry,
arduino?
Il grosso problema di tutti gli oggetti IoT è la sicurezza:
* di solito non esistono aggiornamenti di sicurezza
* se esistono può non essere così semplice aggiornarli
* spesso gli utenti non cambiano neanche i parametri di default, permettendo
a chiunque riesce a "raggiungerli" di poterli usare
Tutto questo, ed altro, può permettere ai propri vicini o a qualcuno di
passaggio di controllare la propria casa, da cose abbastanza "innocue" come
spegnere/accendere qualcosa a cose un po' meno "innocue" come aprire o
visionare le telecamere di videosorveglianza, ...
Esistono motori di ricerca GIS a pagamento che indicano quali sono i
dispositivi IoT, router, ... che usano le password di default, che hanno bug
software/hardware, ...
In rete si trovano articoli che parlano di ciò e studi di esperti di
sicurezza che fanno presente tutti i pericoli che si corrono (ad esempio se
hai una macchina "smart" viene aperta e accesa prima che il ladro arrivi
fisicamente ad essa, deve solo entrare e partire).
Purtroppo la nostra società sta andando verso una modalità di vita molto
rischiosa perché si basa su cose che sembrano facilitarci la vita, ma che in
realtà dietro non sono sicure proprio per nulla.
Faccio un esempio di un articolo che ho letto qualche giorno fa: ad un
esperto di sicurezza è stato consegnato un portatile con UEFI, secure boot,
TPM, VPN, ms-windows, ... (tutto quanto indicato dal NIST per un caso di
questo tipo) il portatile era di un utente di un'azienda per poter lavorare
in sicurezza da remoto, ritenendo il tutto sicuro e inattaccabile. Tale
esperto ha impiegato 30 minuti per riuscire ad estrarre la chiave privata del
TPM e sostituire il file eseguibile che fa partire il login con la riga di
comando e in questo modo avere completo accesso alla rete aziendale.
OK, ha dovuto aver accesso al PC per farcela (ma se l'ipotetico dipendente è
in trasferta, di sicuro lascerà il portatile in hotel quando esce a cena e in
altre occasioni) e indicando come ha fatto si troveranno delle soluzioni, ma
è sbalorditivo il minimo tempo voluto per riuscire ad estrarre la chiave
privata dal TPM (se non erro una volta che la chiave privata è conosciuta,
quell'hardware lo puoi buttare).
Cercando di rispondere alle tue domande, anche se io non implementerei quello
che vuoi fare e lo sconsiglierei vivamente, io non ho mai visto un progetto
che faccia una gestione completa di quello che ci potrebbe essere bisogno per
gestire una casa da remoto, ma ci sono progetti singoli, ad esempio per
gestione telecamere.
Però ora facendo una ricerca ho visto che qualcosa c'è, ad esempio node-red
con licenza Apache 2.0. Però non ho idea di quello che possa fare o di quanto
devi applicarti per poterglielo far fare.
Ciao
Davide
--
I lati oscuri del secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/whitepaper-web
Petizione contro il secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook