06 marzo 2018

Perché ho detto ai miei amici di non usare più WhatsApp e Telegram

Un confronto sulle impostazioni di privacy delle app di messaggistica

 
“What Are You Looking At Security Camera” di Banksy. Stencil on concrete. Marble Arch Station, London, England. 2004.

Questa mattina ho detto ai miei amici di non usare più WhatsApp e Telegram e ho inviato loro un invito per passare all’app di messaggistica Signal.
Ecco perché.


Traduzione di Paolo


Protocolli di crittografia: il protocollo Signal VS il protocollo di Telgram MTProto

Forse non te ne sei accorto ma probabilmente stai già usando il protocollo Signal — insieme a più di un miliardo di persone ogni giorno.

Il protocollo Signal è utilizzato da WhatsApp, Facebook Messenger, Google Allo, e la stessa applicazione di messaggistica Signal.

Ma cos’è il protocollo Signal?
Il Protocollo Signal è un protocollo crittografico non federato che fornisce una crittografia end to end per le conversazioni di messaggistica istantanea. — Wikipedia.
La crittografia end-to-end assicura che il tuo messaggio sia codificato in un messaggio segreto da colui che invia il messaggio e quindi decodificato dal destinatario finale (che è l’unico che può decodificarlo).

WhatsApp ha iniziato a utilizzare questa crittografia qualche mese fa, quando ti hanno mostrato questo messaggio nelle tue conversazioni.

 

Il protocollo Signal è stato progettato da Open Whisper System, un gruppo no-profit fondato nel 2013 dall’ex capo della sicurezza di Twitter Moxie Marlinspike, dopo che la piattaforma dei 140 caratteri aveva acquistato la prima società di messaggistica sicura di Open Whisper.

L’attività principale della Open Whisper System è quella di sviluppo del protocollo Signal e di un’applicazione di messaggistica chiamata anch’essa Signal. La natura no-profit del gruppo è resa possibile dalla combinazione di donazioni e contributi.

Nell’ottobre 2016 il protocollo Signal è stato analizzato da un team internazionale di esperti ricevendo ottime recensioni.

Leggendo le righe precedenti, potresti pensare di essere a posto, visto che WhatsApp, Facebook Messenger e Google Allo usano tutti il Protocollo Signal.
Bene, ti sbagli.

Facebook Messenger e Google Allo non abilitano la crittografia end-to-end di default. Gli utenti di Facebook Messenger devono abilitare le “Conversazioni Segrete” e gli utenti Google Allo devono abilitare la Modalità Incognito.

Telegram, l’app da 100 milioni di utilizzatori realizzata dal fondatore del social network VK Pavel Durov, usa un proprio protocollo crittografico: MTProto. Telegram è stata oggetto di varie controversie rispetto al suo protocollo crittografico. Nel 2015, un ricercatore di sicurezza ha pubblicato un paper rivelando diverse debolezze teoriche* in MTProto, concludendo che Telegram non avrebbe dovuto sviluppare un proprio protocollo.

Restano allora WhatsApp e Signal — le sole due applicazioni che usano il Protocollo Signal di default per tutti i messaggi inviati.

Ti starai chiedendo- perché non restare con WhatsApp allora?

La ragione è nella raccolta dei metadati effettuata da WhatsApp.
Raccolta di dati e metadati

La raccolta di dati e metadati è stata spesso al centro di dibattiti, dove le parti sostenevano affermazioni del tipo:
Non possiamo ascoltare/leggere il contenuto delle tue conversazioni perché usiamo la crittografia end-to-end, possiamo solo raccogliere metadati.
Metadati è sempre stato un termine poco definito. Per tua comodità, ecco qui una definizione chiara di metadati:
I tuoi lettori hanno problemi a capire il termine “metadati”? Sostituiscilo con “registrazione delle tue attività”. Questo è ciò che sono. #chiarezza

Se sei ancora confuso sul significato di metadati, leggi il post di Kurt Opsahl su EFF. Ci dà degli esempi di ciò che le società e i governi sanno quando raccolgono metadati:

Sanno che hai chiamato una linea hot alle 2.24 e hai parlato per 18 minuti. Ma non sanno di cosa hai parlato. Sanno che hai chiamato la linea prevenzione suicidi dal ponte Golden Gate. Ma il contenuto della chiamata rimane segreto.

Sanno che hai parlato con un servizio di test per l’HIV, poi con il tuo medico, poi con la tua assicurazione sanitaria. Ma non sanno di cosa avete parlato.

Adesso che sai cosa sono i metadati, lascia che te lo ripeta un’altra volta: la crittografia end-to-end non impedisce ai servizi di messaggistica di raccogliere metadati.
Vediamo cosa raccolgono:

WhatsApp

Le FAQ di WhatsApp dicono che l’applicazione ha accesso a tutti i numeri di telefono presenti nella tua rubrica e che colleziona una moltitudine di informazioni su di te.

Ciò che è interessante è che WhatsApp non archivia i tuoi messaggi sui propri server. I tuoi messaggi sono infatti salvati sul tuo cellulare — quindi infine sui suoi server quando effettui il backup del tuo cellulare. Per esempio, se usi un iPhone, tutti i tuoi messaggi sono salvati su iCloud, se lo usi per il backup.

Per quanto riguarda le informazioni che WhatsApp raccoglie circa il quando, dove e con chi comunichi, è ancora più vago. Ecco cosa dicono:
Informazioni di uso e di accesso. WhatsApp raccoglie informazioni relative all’utilizzo del Servizio, alla diagnostica e alle prestazioni. Ciò comprende informazioni relative all’attività dell’utente (ad esempio l’utilizzo dei Servizi, la modalità di interazione con terzi tramite i nostri Servizi e simili), file di registro, e registri e report relativi a diagnostica, arresti anomali, sito Web e prestazioni.

WhatsApp raccoglie inoltre specifiche informazioni sul tuo dispositivo quando installi, accedi o utilizzi il loro sevizio — come il modello di cellulare, il suo sistema operativo, e informazioni dal tuo browser, indirizzi IP e la rete telefonica — incluso il tuo numero di telefono.


E se non possono raccogliere quella informazione tramite il tuo telefono, la otterranno quando le persone ti scrivono, visto che WhatsApp ha accesso anche ai dati delle attività dei tuoi amici.

Oltre ai backups non criptati, altre preoccupazioni erano state delineate dalla Electronic Frontier Foundation rispetto alla notifica del cambio di chiave, a WhatsApp web e alla sua condivisione di dati con Facebook, che ha acquisito WhatsApp nel 2014.

Parlando di Facebook…

Facebook Messenger

Il MIT Technology Review ha scritto:
Facebook sta raccogliendo il più grande set di dati mai messo insieme sul comportamento sociale umano.
Non ho bisogno di mettermi a parlare di quali dati Facebok raccoglie. Facebook è il tuo amico, e ti hanno reso molto semplice capire quanto sono tuoi amici:


 

Google Allo

Google Allo è stato ampiamente criticato da esperti di sicurezza.
Google non solo può leggere ogni messaggio che invii, ma conservano anche tutte le conversazioni.
E’ semplice.
Questo è lo spot ironico di Edward Snowden per Allo:
Scaricalo gratis oggi: Google Mail, Google Maps e la Sorveglianza di Google. Questo è #Allo. Non usare #Allo

Telegram

Con Telegram è un discorso complicato, visto che come ho detto in precedenza il suo protocollo crittografico mostra alcune imperfezioni dal punto di vista teorico*. Ma mettiamo da parte questo discorso e vediamo che dati raccolgono su di te.

Messaggi, foto, video e documenti sono criptati e salvati sui server di Telegram (eccetto per i messaggi nelle Chat Sicure, che non sono salvati sui server di Telegram). Così come WhatsApp e Facebook, Telegram accede e salva la tua rubrica sui suoi server. E’ grazie a questo che sono in grado di inviarti una notifica quando qualcuno della tua rubrica inizia ad usare Telegram. Carino da parte loro, vero?

Signal

Il solo dato che Signal memorizza è il tuo numero di telefono con cui ti registri e quando ti sei connesso l’ultima volta ai loro server.
Basta.
Non memorizza neanche l’ora, il minuto o il secondo — solo il giorno.
Se ti senti malizioso, Signal ha i messaggi che si eliminano.
E Signal è gratis. Veramente gratis. Questo significa che non stanno cercando di far diventare i tuoi occhi in un prodotto per inserzionisti pubblicitari come vogliono fare Facebook e Google con le loro app di messaggistica. Puoi donare a Signal qui.

In ogni caso, il codice di Signal è libero e opensource, disponibile su GitHub da controllare.

perché la privacy è importante

Perchè dovresti essere interessato alla tua privacy?
Potresti essere tentato di dire:
A chi importa? Non ho nulla da nascondere.
Se non pensi che la privacy sia così importante:
Guarda il TED talk di Glenn Greenwald sul perché la privacy è importante.
Leggi l’articolo di Quincy Larson su come criptare la tua vita in meno di un’ora.
Leggi il post di Fabio Esteves per capire perché dovrebbe importartene.
Qui trovi informazioni ulteriori più sul perché la criptazione è un diritto individuale secondo Amul Kalia dell’ Electronic Frontier Foundation.

Edit 13/01/2017:
La vulnerabilità “backdoor” di WhatsApp portata alla luce dal Guardian non è nuova. L’uso del termine “backdoor” era stato descritto da alcuni come “una dichiarazione piuttosto forte” ed “estremamente inaccurata”. Quella che il Guardian chiama “backdoor” è in realtà un’ “open door” per un attacco da man-in-the-middle che può essere messo in atto sfruttando la vulnerabilità nella ritrasmissione. La vulnerabilità nella ritrasmissione di WhatsApp — e il motivo per cui Signal è migliore — è stato spiegato da Tobias Boelter. Effettivamente è abbastanza semplice rimediare a questa vulnerabilità andando nelle impostazioni di WhatsApp. Come Frederic Jacobs ha detto, è una scelta tra sicurezza e UX.
Puoi capire il perché qui.


Edit 24/01/2017 *:
 In precedenza abbiamo detto che “La crittografia [di Telegram] non [era] sicura. Telegram Messenger ha riportato alcuni chiarimenti nel post del suo blog commentando la scoperta di J. Jakobsen.


Se questo post ti è stato utile, clicca sul cuore verde per raccomandarlo, grazie! (e puoi fare lo stesso con l’articolo originale in inglese).