6 Commenti

Quale sia il miglior messaggero

WhatsApp, what’s better

di

thumbnail

17

ott

2016

Per mandare gli auguri di compleanno a un amico va bene anche un SMS. E per mandare una password, invece?

Ho già avuto modo di scrivere altrove che molte persone che conosco si comportano su Internet come se fossero suore di clausura. Non nel senso che non gli sia mai passato per la testa di passare da un sito porno.

Nel senso che si muovono con una leggerezza che sarebbe giustificata solo in una persona che non ha un conto in banca né possiede personalmente beni, non ha e non ha mai avuto amanti, nessun momento della sua giornata ha o richiede privacy e non ha un segreto al mondo.

È un comportamento tipico degli onesti: sono una persona per bene, dunque non ho niente da nascondere. Se vi fermate a pensarci non è proprio così, ma se non avete tempo o voglia, vi racconto un aneddoto. Qualche mese fa mi è stato chiesto da uno straniero Dove dovrei allestire un sito che, se il mio governo riuscisse ad associare a me, mi costerebbe la visita di un assassino? Una domanda che fa riflettere.

Se c’è un filo di paranoia in voi vi farà pensare che oggi vivete in una democrazia dove nessuno vi farà del male per quel che dite o scrivete, ma non potete essere certi di quale forma di governo ci sarà tra vent’anni e di cosa quel governo vi farà tra ven’anni per quel che avete scritto ieri. E anche se quella paranoia non trova appiglio in voi concluderete comunque che è importante che tantissimi dati su Internet viaggino in forma non intercettabile. Perché se anche le informazioni più innocue vengono cifrate, allora chi ha davvero bisogno di protezione (come quel mio interlocutore) non potrà attirare l’attenzione di governi tirannici per il semplice fatto di usare la cifratura sulle sue comunicazioni.

Come usare PGP per verificare l'autenticità di una email: cercate questo testo all'inizio.<br />
[Intestazione della email in grigio chiaro.] Reply<br />
[Evidenziato da una freccia che arriva dalla frase «cercate questo testo all'inizio» più in alto.]<br />
-----BEGIN PGP SIGNED MESSAGE-----<br />
[Messaggio, in grigio chiaro.]<br />
HASH: SHA256<br />
[Termine del messaggio.]<br />
Se c'è, l'email è probabilmente a posto.

Oggi la percentuale di messaggi di posta cifrati è così bassa che, se una mail sostiene di essere firmata digitalmente, è statisticamente certo che lo sia davvero.

 

Nella messaggistica diretta, la cifratura viene spesso citata come un vantaggio. Altrettanto spesso, se vi fermate ad approfondire, la cifratura manca o è stata realizzata volutamente male. Ecco un rapido sommario di come stanno le cose.

  • Skype. Ai suoi albori il programma era ben protetto. Oggi, grazie anche alle cure del nuovo proprietario Microsoft, non si può dire lo stesso. È noto che ogni messaggio digitato in Skype viene analizzato perlomeno dai servizi segreti statunitensi, la NSA.
  • Telegram. Ha goduto di una buona popolarità dopo che le rivelazioni di Snowden hanno fatto luce sulle abitudini ficcanaso degli americani. Si tratta infatti di un programma sviluppato da russi, Peccato che tutti i messaggi vengano mandati con scarsa protezione e conservati in chiaro. Solo se selezionate esplicitamente l’opzione chat segreta si accende la cifratura. Che è però realizzata con un metodo criticabile e criticato. E neppure funziona nella versione Windows del programma.
  • iMessage. La soluzione Apple è molto buona, ma se l’interlocutore usa Windows, o Android, non potete usare questo sistema per inviargli messaggi. Inoltre, per funzionare, iMessage deve necessariamente comunicare ad Apple con chi voi state parlando, e quando. Sono comunque informazioni che a volte non è bene trapelino.
  • Allo. Il nuovo servizio di messaggistica Google si comporta come Telegram, ovvero normalmente non prova neppure a cifrare i messaggi. Prova anche a scoraggiarvi se vi viene voglia di accendere la cifratura opzionale, perché questo impedisce al gigante di Mountain View di tracciare i vostri interessi e le vostre attività a scopi commerciali.
  • WhatsApp. Con oltre un miliardo di utenti, è il più popolare tra tutti i sistemi di chat al mondo. Il sistema di messaggistica targato Facebook ha recentemente aggiunto una buona cifratura alle sue caratteristiche. Purtroppo però condivide la stessa debolezza che abbiamo già citato per iMessage: i server centrali memorizzano chi è stato contattato, da dove e quando. E i termini di servizio chiariscono che l’azienda si sente libera di trattenere anche ulteriori informazioni, se lo ritiene necessario, senza ulteriori preavvisi. Inoltre, WhatsApp mantiene in chiaro sul telefono di mittente e destinatario tutti i messaggi scambiati, quindi se il dispositivo viene perso o rubato ed è un Android, questo è un problema (mentre invece gli iPhone usano di serie la cifratura su tutta la memoria dell’apparecchio).
  • Signal Il migliore del mucchio. Cifratura forte, sempre e ovunque, persino nelle chat di gruppo. Tutto il codice sorgente a disposizione di chi vuole controllare che non ci siano fregature nascoste nell’app. La casa produttrice, Open Whisper Systems, non conserva alcuna informazione sui suoi utenti e garantisce che non lo farà in futuro. Il programma volutamente non consente il backup dei suoi dati, memorizzati in forma cifrata.

Quindi? Oggi come oggi il consiglio può essere uno solo. Installate Signal. Disponibile come app per iPhone o per Android e come estensione per Google Chrome su Windows e per Mac. Subito dopo ditelo agli amici, anzi, meglio, mandategli un link a questa pagina.




Luca Accomazzi (@misterakko) ha messo le mani su un calcolatore (Apple) nel 1980 e da allora non le ha quasi mai staccate anche se, avendo una moglie e una figlia, viene da sospettare che qualche pur breve pausa l’abbia trovata. Su Internet dal 1992, si dedica a tempo pieno a scrivere siti – circa trecento da fine 1997 – fermandosi solo per scrivere libri per Apogeo (spesso in sodalizio con Lucio Bragagnolo). L’azienda che ha fondato, Accomazzi.net, è specializzata in commercio elettronico e newsletter.

In Rete: www.accomazzi.net

Letto 3.561 volte | Tag: , , , , , , ,

6 commenti

  1. @claudiovolt

    Vorrei chiedere chiarimenti rispetto a quanto si dice di Telegram. In particolare mi riferisco a queste parole: «Peccato che tutti i messaggi vengano normalmente mandati in chiaro, cioè senza protezione. Solo se selezionate esplicitamente l’opzione chat segreta si accende la cifratura». Mi sembrano piuttosto diverse da quelle utilizzate nella presentazione del servizio di messaggistica sul suo sito… Mi piacerebbe avere una spiegazione un po’ più approfondita del “Peccato che tutti i messaggi vengano normalmente mandati in chiaro”. Grazie anticipatamente

  2. Luca Accomazzi

    La ricerca di brevità a volte porta a tagliare gli angoli nelle spiegazioni. Telegram protegge normalmente le chat solo con una connessione TLS (come quella fatta dai siti web https), che si svolge tra mittente e server Telegram. Una seconda connessione viaggia da server Telegram e destinatario. Sui server Telegram sono depositati tutti i messaggi e tutte le agende indirizzi in forma pienamente leggibile (“in chiaro”), e questo li rende un obiettivo preziosissimo per spie e hacker; non mi stupirei se tra qualche anno si scoprisse che qualcuno c’è riuscito e i messaggi saltassero fuori.
    Signal, iMessage e WhatsApp offrono una connessione diretta tra mittente e destinatario, cifrata con un metodo ben più robusto chiamato Double Ratchet (https://en.wikipedia.org/wiki/Double_Ratchet_Algorithm).
    Gli autori di Telegram hanno difeso la loro soluzione offrendo un premio in denaro a chi riuscisse a infrangerla, ma è una mossa di puro marketing che non garantisce niente, come spiega in questo articolo Moxie Marlinspike, uno degli inventori del sistema Double Ratchet e uno degli autori di Signal: https://moxie.org/blog/telegram-crypto-challenge/

  3. Erix

    Sarò scettico, ma quando leggo “Pay Nothing – The development team is supported by community donations and grants. There are no advertisements, and it doesn’t cost anything to use” e ci sono di mezzo i costi operativi, qualche dubbio mi viene.

  4. Luca Accomazzi

    @Erix, Wikipedia discute la questione nel suo articolo https://en.wikipedia.org/wiki/Open_Whisper_Systems

    In sostanza, ricevono la maggior parte dei fondi da tre organizzazioni senza scopo di lucro, di cui la principale è questa: https://en.wikipedia.org/wiki/Freedom_of_the_Press_Foundation

  5. Domme

    Ci sarebbe anche Wire (wire.com): in giro pare un po’ sottovalutato, ma sembra un’alternativa più che buona, tra l’altro appena localizzato in italiano. In aggiunta alle inprescindibili questioni tecniche, sarebbe poi utile analizzare sotto quale giurisdizione operano, e cosa gli è lecito fare o non fare alla luce della stessa.

  6. Erix

    Grazie, buono a sapersi.

Lascia il tuo commento