Anche oggi, come la volta precedente, vi invito a sforzarvi nel mettere da parte la tifoseria su questo tema molto polarizzato: la applicazioni di messaggistica KE TI SPIANO TUTTO.

Iniziamo con l’evidenziare che ci sono due temi a monte di tutti i ragionamenti che si possono fare nelle app di messaggistica:

• la privacy ovvero la promessa che questi sistemi fanno in merito alla protezione e alla divulgazione dei dati che trasmettete.

• la sicurezza in senso stretto, ovvero la tecnologia utilizzata per garantire la privacy, perchè se vi promettono che non divulgano niente a nessuno, ma hanno un sistema bucato come un groviera, i vostri dati saranno comunque sparpagliati per la rete.

Ora potrete pensare che i dati scambiati nelle app di messaggistica non necessitino di privacy, o perlomeno le vostre conversazioni, e che non avete nulla da nascondere. Forse è vero. Altri invece pur non avendo nulla di cui vergognarsi, hanno delle informazioni a cui tengono e che non vogliano finire in mani sbagliate. In terzo luogo nel secondo numero di questa newsletter spiegai quanto fosse importante una certa discrezione e che purtroppo la maggior parte dei nostri dati personali sono già noti a mezzo mondo a causa delle continue esfiltrazioni dati che subisce chi gestisce le nostre informazioni. Recente la notizia dell’esfiltrazione di 7 milioni di account presi dalle banche dati delle vaccinazioni covid in italia. Insomma, sarebbe meglio evitare di consegnare al pubblico i dati che potrebbero essere usati per fare un bel furto di identità ai nostri danni.

Quindi i dati che scambiate sono importanti, se non per voi, lo possono essere per i criminali informatici.

Quindi quale app di messaggistica è più sicura?

Risposta secca: Signal. Ne avete realmente bisogno? Forse.

Cerco di dettagliare in modo semplice le differenze tra Signal, Whatsapp e Telegram. Come vedete ho già escluso le app di messaggistica legate strettamente a un social network, come Messenger di Facebook e le chat di Instagram, che di privacy ne hanno un gran poca per definizione1. Per evidenti caratteristiche di assenza di privacy non parlo nemmeno di weChat, app di messaggistica iper-diffusa in Cina che è completamente controllata dal governo cinese. Per ultimo escludo Discord e simili perchè non sono vere e proprie app di messaggistica ma delle chatroom moderne, quindi un’altra cosa insomma.

Crittografia E2E

Una App che adotta crittografia E2E vuol dire che garantisce che i messaggi siano visibili solo ai due interlocutori della chat. Durante il tragitto tra i due telefoni il messaggio è cifrato e illeggibile, anche per il produttore del software in questione, perchè le chiavi di cifratura sono solo sui due dispositivi.

Whatsapp: da anni tutte le chat sono protette con crittografia E2E

Signal: da sempre le chat sono in crittografia E2E

Telegram: le chat non sono in crittografia E2E a meno che non si utilizzi esplicitamente ogni volta la modalità chat segreta.

Se un sistema non utilizza la crittografia E2E è in grado di leggere tutte le conversazioni e i documenti scambiati, anche salvarli per leggerli in un secondo momento. Può farlo sia per spiarvi per profilarvi meglio che su richiesta di un ente governativo, che sia l’Inghilterra, la Russia o gli Emirati Arabi.

Gestione dei Metadati

Ne avrete sicuramente sentito parlare: I metadati sono le informazioni che riguardano i dati scambiati, ma non i dati stessi. Prendiamo ad esempio questa newsletter: il contenuto dell’email che state leggendo ora è il dato, mentre i metadati ad essa collegata sono: l’ora di invio, l’ora di ricezione, l’indirizzo email mittente, quella del destinatario, la lunghezza in caratteri… Insomma una serie di informazioni che non svelano il contenuto dell’email ma danno comunque delle informazioni importanti. Nel caso delle app di messaggistica ad esempio i metadati più interessanti sono ovviamente quando avete spedito un messaggio, il suo destinatario e quando è stato letto. Mettendo insieme queste informazioni è possibile ricostruire ad esempio quando andate a dormire e quando siete svegli, quando avete il telefono in mano, quando non siete attivi per nulla. Ci sono siti che a pagamento svelano tutto questo genere di informazioni.2

Whatsapp: Se non siete cittadini dell’Unione Europea i metadati sono salvati e condivisi completamente con Facebook e quindi sono anche venduti a terze parti ad esempio tramite servizi di pubblicità mirati. Un cittadino americano che utilizza Whatsapp di fatto permette a facebook di conoscere l’intero contenuto della sua rubrica. In UE questo non è possibile grazie alla normativa GDPR che è la più avanzata al mondo nella tutela dei dati personali. Ergo i nostri metadati seppur raccolti copiosamente non sono vendibili a terzi.

Signal: i metadati non vengono registrati e quelli necessari per il funzionamento della comunicazione vengono distrutti subito dopo.

Telegram: Molti metadati sono registrati ma non divulgati, ma non tutti. L’azienda si è impegnata spesso a mettere la privacy come primo obiettivo, anche a costo di subirne le conseguenze.

Minimizzazione dei dati condivisi

Ovvero quanti dati l’applicazione raccoglie rispetto a quelli che dovrebbe raccogliere per il solo funzionamento dell’applicazione. Ad esempio pensateci: se io devo fare una applicazione per mandare messaggi, del vostro nome e cognome interessa poco, interessa solo il numero di telefono.

Whatsapp: raccoglie tante informazioni. Aprite a guardate.

Signal: solo il numero di telefono.

Telegram: come Whatsapp.

Affidabilità dell’azienda:

Ovvero chi ci stà dietro e che probabilità ci sono che le cose così come stanno cambino.

Whatsapp: è di proprietà di Facebook. L’obiettivo espresso più volte è quello di fondere Whatsapp con Facebook e quindi di unire le banche dati. Dati i regolamenti UE questa cosa non è possibile: se lo facessero, l’app verrebbe bloccata e ci sarebbe sicuramente una procedura di infrazione. C’è da dire che è comunque una multinazionale americana e non il governo cinese. Sebbene molte persone nutrano diffidenza a priori verso le multinazionali, questa diffidenza dovrebbe essere ponderata rispetto alle altre realtà. Altrimenti si scappa da Whatsapp e si installa weChat.

Signal: E’ una no-profit di diritto statunitense. Se un domani fallisse o qualche azienda entrasse in possesso di tutte le informazioni in suo possesso, non avrebbe nulla in mano, proprio perchè Signal non registra nulla. Sta in piedi grazie a donazioni di grandi aziende e privati, oltre che governative.3

Telegram: ahimè, questa è la nota più dolente di Telegram per cui andrebbe usata solo per scopi molto limitati e per scambiare dati assolutamente non privati. Telegram è una azienda camaleontica che ha costruito intorno al suo nome l’idea dei paladini della sicurezza, della privacy, degli eroi che si sono ribellati a Putin e altre amenità. Tutto vero. Nei fatti l’azienda ha sede a Dubai, non risponde a nessuna rischiesta di qualunque governo, ci sono una serie di società collegate a Telegram con sedi in paradisi fiscali e giudiziari che gli permettono di evitare qualunque problema legale. L’azienda è incentrata sui fratelli Durov che sono i protagonisti della favola dei difensori della privacy, ma solo un allocco si fermerebbe alla superficialità di questo racconto. C’è altro, solo che non è dato saperlo. Qui un ottimo reportage a riguardo, in inglese ma potete sempre fare tasto-destro-> traduci pagina.

Vosa vuol dire in soldoni?

Vi faccio un esempio

mica tando campato in aria…

A Dubai, come in molti stati islamici, gli omosessuali sono perseguitati per legge. La sharia imporrebbe anche la pena di morte. Immaginiamo quindi che a Dubai venga arrestato un omosessuale, gli viene controllato il telefono per ottenere i suoi contatti su cui indagare per lo stesso reato, ovviamente. Il telefono è spento e il proprietario non fornisce il PIN. Estrarre dati da un cellulare spento senza il PIN è oramai questione complicata se non impossibile4. Si risale al numero di cellulare. Si chiede a Whatsapp a Telegram e a Signal le informazioni degli ultimi contatti messaggiati dal reo:

1. Whatsapp possiede i dati e può decidere di comunicarli. E’ probabile che non li comunicherà per questo genere di reati, anche se li possiede. Per inciso, se a chiederli fosse il governo degli Stati Uniti, sarebbe obbligato.

2. Signal non possiede alcun dato e non può quindi comunicare nulla.

3. Telegram possiede più dati di tutti perchè potrebbe possedere i dati delle comunicazioni non crittografate E2E. Li consegnerà? boh. Fino ad ora non sembra lo abbia fatto e soprattutto si vanta di non averlo mai fatto: ma sono loro stessi i garanti di quanto affermano. Se comunicassero i dati, non lo direbbero certo in giro. Inoltre Telegram ha proprio sede a Dubai che in termini di libertà di opinione non è decisamente un modello, è più che altro uno stato di polizia, ricco e moderno.

L’elefante nella stanza è Telegram

E’ proprio questo vanto della privacy totale e della libertà totale che lo rende problematico: sembra che sia una vera e propria zona franca. Si trovano gruppi di pedopornografia, gruppi per la vendita di armi, medicine illegali e altro ancora. Telegram non esercita alcun controllo sui contenuti.

Non voglio spaventarvi: installare telegram non vi farà entrare in un gruppo di pederasti o metterà a rischio la vostra reputazione. E’ impossibile entrare in quei gruppi a meno che non esplicitamente invitati, ma ci sono e sono un problema.

Però Telegram ha un paio di funzionalità davvero carine e innovative che lo rendono una via di mezzo tra una app di messaggistica e un social network: i canali e i bot.

Non mi interessa fare pubblicità a Telegram ne elencarne le funzioni, ma ritengo che l’utilizzo di Telegram sia assolutamente ragionevole per la finalità di utilizzare i canali: il nome suggerisce anche la funzione, ovvero delle chat monodirezionali dove gli iscritti ricevono e basta le news da parte dell’amministratore del canale. Gli iscritti possono iscriversi e disiscriversi a piacimento, cosa ben diversa dalle liste broadcast di whatsapp in cui si rimane spesso invischiati senza essersi iscritti. Io ad esempio sono iscritto a:

https://telegram.me/xkcdChannel

https://t.me/s/ilpostgram

Signal ha una chicca

Perlomeno su Android. Potete utilizzarlo come app predefinita per la messaggistica SMS. Vantaggi:

• Con una app gestite due funzioni, che non è male, anche perchè cosi la sostituite nella dock del cellulare al posto della app di sms per averla sempre a portata di mano.

  Signal è orientato alla privacy e vi proporrà di proteggere la visualizzazione degli SMS nelle notifiche. Lo potete vedere nelle impostazioni dell’applicazione. Se vi ricordate nella newsletter precedente avevo indicato un grosso problema proprio nel poter visualizzare i codici monouso ricevuti via SMS nelle notifiche di un telefono incustodito, anche se bloccato.

Come Whatsapp e Telegram, anche Signal ha l’applicazione per PC e Mac.

Grazie a tutti e buone ferie.