Le app protette con la crittografia end-to-end garantiscono la privacy, ma la loro sicurezza dipende dal software, da come viene implementato, e da chi
Quasi tutte le app per la messaggistica istantanea sono oggi protette con la crittografia end-to-end per garantire la privacy di chi ne fa uso. L’uso della crittografia consente infatti di cifrare i messaggi e le telefonate, rendendoli virtualmente illeggibili a chiunque non sia il destinatario voluto.
Poiché la crittografia è la scrittura segreta basata su di un codice condiviso fra gli interlocutori, il livello di segretezza di un testo cifrato dipende da due fattori: il cifrario utilizzato, ovvero il codice, e la complessità della chiave di cifratura che determina il modo in cui un messaggio viene cifrato.
Ma che cos’è la crittografia end to end?
In sintesi possiamo dire che con la cifratura end-to-end ci si riferisce all’uso di un sistema crittografico che cifra, rendendola illeggibile, la comunicazione tra due dispositivi. Le chiavi di cifratura sono inserite all’interno di entrambi i dispositivi e quindi nessuno, posto nel mezzo, potrà interpretarla se non possiede le chiavi giuste.
WhatsApp implementa questa protezione come Facebook Messenger, ma anche prodotti come Telegram, Signal e Confide, disponibili sia per Android che iOS, offrono la possibilità di cifrare la comunicazione riducendo la possibilità che un eventuale Man in the middle possa accedere e leggere la comunicazione che in quanto cifrata risulterebbe incomprensibile.
Tuttavia le chat e le telefonate via smartphone non sono per forza sicure (lo spieghiamo alla fine) anche se protette con la crittografia end-to-end. La loro scelta è pertanto una funzione del livello di segretezza necessario percepito dagli utenti e dal software crittografico che usano, ma anche da come viene implementato e da chi.
1) Telegram, la GPL e i Bot
Telegram è un servizio di messaggistica istantanea creato da una coppia di fratelli russi: Pavel e Nikolai Durov. Caratteristiche di Telegram sono l’uso della crittografia end to end per messaggi vocali, fotografie, video e file particolarmente “pesanti” e il tipo di licenza del software, la GPL, che permette di distribuirlo come software libero per diverse piattaforme, anche Microsoft Windows. Altra caratteristica importante è che può gestire gruppi e supergruppi nei suoi canali, da 200 membri fino a 5000 persone, anche se questi non possono sempre rispondere ai messaggi in base alla decisione degli amministratori. Inoltre Telegram da un paio d’anni ha introdotto una piattaforma per permettere di creare dei particolari account che sono detti Bot (o chatbot), che offrono diverse funzionalità con risposte immediate e automatizzate. Una possibilità dovuta al fatto che le API di Telegram sono disponibili gratuitamente per gli sviluppatori indipendenti. Questi Bot possono svolgere diverse funzioni: dalle richieste meteo alla consultazione di singoli canti della Divina Commedia o degli articoli della Costituzione fino alla distribuzione di news digitali.
2) WhatsApp, la chat più popolare
Il 5 aprile 2016 WhatsApp ha adottato la crittografia end to end. Tutti i dispositivi su cui è installato il suo software adesso hanno un livello di protezione aggiuntivo in grado di impedire la decodifica delle conversazioni da parte di occhi e orecchie indiscreti. Whatsapp è di proprietà di Facebook e di volta in volta va incontro a nuove polemiche per i suoi livelli di sicurezza, ma è tuttora quella più usata.
3) Signal, l’app anarchica e open source
Signal adotta la crittografia end to end sia per la chat che per i messaggi e le telefonate. Sviluppata da Open Whisper System, si basa su un software open source. Oltre che per gli smartphone, Signal ha anche una versione desktop che come l’app può essere utilizzata per inviare e ricevere messaggi privati, di gruppo, allegati e messaggi multimediali. Da poco è disponibile una versione beta che permette anche le videochiamate cifrate. Si scarica gratuitamente da Google Play o dall’App Store.
Il suo protocollo di protezione è lo stesso di Whatsapp e Messenger, ma la prima grande differenza con questi ultimi è che Signal è basata su open source software e il suo business model è collaborativo e solidale. Non è stata realizzata per fare soldi coi dati degli utenti ma, come dichiarato dal suo creatore, Moxie MarlinSpike, per rendere le persone più libere. Signal non conserva i metadati delle comunicazioni che permettono di ricostruire la rete di rapporti o le presunte attività di chi la usa (dove come quando e con chi abbiamo chattato o telefonato), registra solo l’ultima volta che l’utente si è connesso al server e non invia la lista dei propri contatti al server centrale. Inoltre usa una funzione crittografica per rendere illeggibili i numeri telefonici inviati al server. E non fa mai il backup dei messaggi inviati. Perciò non esiste il pericolo di offrire le proprie comunicazioni a occhi e orecchi indiscreti. Cosa ancora più importante è che, se qualcuno, poniamo un governo, chiedesse a Open Whisper, la società che sviluppa l’app, di fornirgli i dati di un utente sospettato di un reato, non potrebbe darglieli, perché non li ha.
4) Confide, uno, due, tre… il messaggio scompare
Come i suoi più famosi rivali Confide usa la crittografia end to end per evitare che un malintenzionato possa leggere il contenuto dei messaggi in caso di intercettazione, ma fa anche di più: una volta che il messaggio è arrivato a destinazione lo distrugge e con esso tutti gli allegati, comprese le registrazioni vocali da poco disponibili per l’app.
Creato da Jon Brod, ex manager di AOL e Howard Lerman, CEO di Yext, Confide ha come obiettivo la privacy totale dell’utente crittografando i messaggi e facendo in modo che il destinatario non possa leggere, a colpo d’occhio, il contenuto dell’intero messaggio ma solo trascinando il dito sopra ogni singolo riga e mantenendo oscurate le parti non toccate. Inoltre non consente lo screenshot dell’utente e fornisce persino una funzionalità che consente di “ritirare” i messaggi non ancora letti dall’intelocutore.
5) Facebook Messenger e le “secret conversations”
Da poci mesi il miliardo e più di utenti che usa Messenger, l’app di Facebook per le chat, può contare su “Secret Conversations”, il sistema di crittografia che rende il servizio a prova di curiosi. Con Messenger è infatti possibile avviare una conversazione segreta cliccando sull’icona che rappresenta un lucchetto nel profilo dell’interlocutore in chat e, se si seleziona l’icona dell’orologio, si può decidere quanto tempo deve passare prima che il messaggio si autodistrugga da solo (non funziona ancora in tutti i paesi).
La modalità segreta va attivata manualmente per ciascuna conversazione. In questo whitepaper si spiega come funziona e quale sia la filosofia dell’applicazione.
Mai sentirsi al sicuro è la prima regola della sicurezza
Gli elementi di debolezza o punti d’attacco di queste app per parlare in segreto tuttavia sono sempre gli stessi:
1. le implementazioni errate del software non ancora scoperte;
2. la compromissione del dispositivo;
3. le eventuali “backdoor” aziendali o governative
Come ha detto Stefano Chiccarelli, hacker a capo della società pescarese Quantum Leap, a proposito della crittografia end-to-end “Se uno dei due ‘end point’ è già stato violato, l’intrusore (o attacker) potrà leggere i dati prima che vengano cifrati. In questo caso il punto debole è il dispositivo stesso, sia esso uno smartphone, un computer, un tablet, una Playstation. Per questo strumenti efficaci come i captatori informatici governativi o i malicious trojan criminali rivestono una straordinaria importanza in questo tipo di attacchi”.
Insomma, anche se usate la crittografia, tanto per cominciare, non lasciate mai il telefono incustodito, installate subito le app su telefoni “vergini”, fate girare un antivirus sul telefono, aggiornate il suo sistema operativo e le app che usate. Infine seguite le più banali regole di sicurezza, a cominciare da un codice di sblocco diverso da “1234” e dove possibile usate la doppia autenticazione.
Ah, a proposito, anche prestare il telefono non è una buona idea. Ma questo già lo immaginavate, vero?