• CM

Immuni, Open Source e Sicurezza

App per il contact tracing e sicurezza

Da qualche tempo si parla solo di emergenza Covid-19 e uno dei temi più sentiti, probabilmente perché va a braccetto con la ‘Fase 2’ è quello dell’app di contact tracing.

Le fasi di scelta, messa a punto e introduzione di quest’app sono accompagnate da un ampio dibattito. In generale credo dal confronto stia derivando passo dopo passo un miglioramento dell’approccio, nonostante a volte certi toni e polemiche rendano assolutamente sterile il dialogo.

Il punto dolente è quello di creare un’app efficace per limitare il contagio e allo stesso tempo sicura e rispettosa della privacy.

Su questo fronte, sono già state affrontate diverse questioni. Che tecnologia utilizzare, GPS o Bluetooth? In realtà pare la risposta privacy compliant sia stata velocemente individuata nella seconda opzione, salvo poi rivalutare per alcuni aspetti anche un utilizzo parziale del GPS. Il sistema deve essere centralizzato o decentralizzato? Seguiamo l’approccio PEPP-PT o DP-3T? Qui la faccenda si fa più complessa e assume toni in qualche misura da telenovela, tra litigi e riappacificazioni dei sostenitori di ciascun sistema. Il risultato pare propendere (e secondo me giustamente) per l’approccio decentralizzato. Ma i giochi sono ancora aperti.


Sicurezza e open source

La domanda su cui vorrei spendere due parole è relativa alle modalità di distribuzione dell’app. Sarà open source o no? Ricordiamo che il punto focale dell’open source è non solo e non tanto la disponibilità gratuita dell’app ma la distribuzione del suo codice sorgente.

Fino a qui ho parlato genericamente di app, ma possiamo anche darle un nome: Immuni. L’app che Bending Spoons S.p.A. ha presentato alla fast call for contributions indetta da MISE, Ministero della Salute e Ministero per l’innovazione tecnologica per individuare soluzioni tecnologiche per il monitoraggio attivo del rischio di contagio.

L’Ordinanza del Commissario Straordinario Arcuri (disponibile qui) rimaneva piuttosto vaga sul punto, posto che nelle premesse indicava la volontà di Bending Spoons di ‘di concedere in licenza d’uso aperta, gratuita e perpetua’ l’app, salvo poi menzionare in altra premessa il proposito di acquisire il diritto d’autore sull’app e concludere con la decisione di procedere alla stipula dell’accordo di licenza gratuita (perdendo quindi l’aggettivo ‘aperto’).

Il tema sembra essersi recentemente risolto. La Ministra Pisano ha confermato che l’app sarà distribuita con licenza FOSS Mozilla Public License 2.0 (la nota del Ministero è disponibile qui).


Ma perché questo tema è stato oggetto di tanta attenzione, e in che modo è rilevante rispetto al tema sicurezza?

Distribuire sotto licenza open source significa mettere a disposizione il codice sorgente dell’applicazione, ovvero le righe del codice scritto dallo sviluppatore e che, una volta compilate o interpretate, danno le istruzioni al device (computer, smartphone, tablet, etc.) sulle operazioni da compiere per il funzionamento del programma/app.

Analizzando il codice sorgente è possibile capire il funzionamento del programma e anche eventuali bug, errori architetturali e potenziali punti deboli. Per questo motivo, c’è chi sostiene che rilasciare il codice sorgente possa costituire un pericolo per la sicurezza, perché eventuali malintenzionati possono individuare, e sfruttare, debolezze del programma. Secondo questo ragionamento, meglio tenere il codice chiuso e dare informazioni molto limitate sul suo funzionamento (c.d. ‘security through obscurity’ o ‘STO’ – qui qualche informazione in più su questo concetto).


Ma non manca – e anzi sembra essere più numeroso – chi è di opinione esattamente contraria. Il rilascio del codice sorgente genererebbe meccanismi tendenzialmente virtuosi:

  1. gli sviluppatori dell’app sarebbero incentivati a ricercare una maggiore qualità del codice e ad evitare ‘scorciatoie’ che poi terzi potrebbero individuare;

  2. una peer review più ampia, il codice sorgente non è accessibile solo ai malintenzionati ma a una platea di tecnici che tendenzialmente segnaleranno ai manutentori del software eventuali bug e possibili fixes - faith in humanity 😊;

  3. la possibilità di ‘mettere una taglia’ sui bug – offrendo un compenso a segnalazioni fondate di problemi. Esistono dei veri e propri bug hunters che vivono di questo;

  4. un incentivo a correggere i bug dato dal fatto che chi lo ha segnalato, in mancanza di collaborazione dai manutentori del software, potrebbe diffondere la notizia dell’esistenza del bug e dell’inerzia di chi dovrebbe implementare le correzioni, con possibili conseguenze anche gravi per la reputazione.


Open Source e app per il contact tracing

Tornando al tema delle app per il contact tracing, in Norvegia si è scelto di tenere chiuso il codice sorgente, sostenendo che il rilascio costituisca un rischio per la sicurezza posto che non c’è tempo per beneficiare del processo di review che di solito viene catalizzato nel caso di open source (qui il Q&A degli sviluppatori dell’app norvegese).

In Italia invece la scelta è ricaduta su una licenza open source.

Qual è l’approccio corretto o – posto che entrambi gli approcci hanno degli argomenti – l’approccio migliore? L’EDPB – European Data Protection Board nelle linee guida per l’adozione delle app di contract tracing nei Paesi UE (disponibili qui per il download), indica esplicitamente che il codice sorgente dell’app e del relativo back-end deve essere reso pubblico, insieme alle specifiche dell’app, di modo che ciascun interessato possa fare un audit e segnalare possibili correzioni, anche in un’ottica di trasparenza.


Queste app e il relativo schema di utilizzo – aperto o chiuso – saranno sottoposte a un duplice banco di prova: l’efficacia nel limitare la diffusione del virus e l’effettiva sicurezza, questo secondo aspetto anche in termini temporali medio/lunghi.


CM

0 visualizzazioni

Avv. Cosetta Masi

C.F. MSACTT84T56L840I - P.IVA 03766790244

PEC: cosetta.masi@ordineavvocativicenza.it

iscritta all'Albo tenuto dall'Ordine degli Avvocati di Vicenza

Domicilio Fiscale:

Via Zanella 58 - 36010 Monticello Conte Otto (VI)

© 2017/2019 by Cosetta Masi