Notasi il paragrafo di intervista al pirata vecna!
«Sono soggetti che sanno cosa fai su quel sito, poi se ti traccino o no dipende da loro. Ma hanno i dati per farlo, e più sono presenti su altri siti più possono correlare le tue attività in diversi contesti», spiega alla Stampa Claudio Agosti, programmatore, attivista e ideatore del progetto. «Trackography traccia solo i media finora perché volevo concentrarmi su siti essenziali per la società, ma i tracker ci sono su tutti i siti».
Telegram vs Signal
Per quanto riguarda Telegram il discorso è complesso. Va detto intanto che la cifratura end-to-end non è automatica (come su iMessage) ma deve essere attivata dall’utente attraverso le chat segrete. In quel caso, dice la policy della app di origine russa, non sarebbero conservati i dati relativi ai messaggi. Testuale: «dopo un certo periodo di tempo non sappiamo più a chi o quando hai inviato un messaggio con una chat segreta». Non si capisce però quanto sia questo tempo: in ogni caso queste informazioni sembrano esserci, almeno all’inizio.
Inutile sperare che i metadati siano al sicuro – resta improbabile è impossibile da comprovare. Importante che almeno la crittografia end-to-end sia vera – il codice sorgente pare sia genuino, perciò è importante utilizzare un compilato del sorgente non creato dalla ditta stessa. Il modo per fare ciò non è poi molto difficile: bisogna installare f-droid.org per poi scaricare Telegram attraverso F-Droid. I ragazzi di f-droid compilano ogni software senza farsi influenzare dagli autori originali. Fanno bene. Purtroppo gli autori di Signal impediscono che si offra lo stesso servizio di garanzia indipendente per i loro software – un comportamento molto strano per una ditta che produce open source, ma d’altro canto è una ditta americana sotto certe pressioni del proprio governo. Per questo presumo che, contrario al supporto addirittura del buon Snowden, il software Signal non sia sicuro.
Di nuovo, i metadati vanno visti tutti assieme. Come scrive al riguardo l’esperto di cybersicurezza (e venditore di exploit) The Grugq: «Quando registri un account su Telegram, la app carica l’intero registro dei contatti sui suoi server. Ciò consente a Telegram di costruire una enorme mappa delle relazioni sociali di tutti i suoi utenti e di come si conoscono l’un l’altro. É molto difficile rimanere anonimi mentre si usa questa app perché la rete sociale di tutti quelli con cui comunichi è nota alla stessa Telegram (…)».
Questa critica a Telegram è giustificata, ma mi domando come Signal farebbe diversamente. Tra il male di dare i metadati ad una ditta europea ed una ditta americana scelgo Telegram a causa dell’attuale situazione legale in America.
Senza menzionare la fuoriuscita accidentale di informazioni, come rilevato in questi giorni da un ricercatore, che ha notato un fatto: Telegram comunica a tutti quando apriamo l’applicazione per leggere o scrivere messaggi. «E non lo comunica soltanto ai nostri contatti, ma a chiunque ci aggiunga in rubrica, anche senza conoscerci. Questo significa che chiunque può sapere esattamente quando stiamo leggendo o scrivendo del testo sulla app. Monitorando l’apertura e la chiusura della finestra dell’applicazione di una persona e quella dei suoi probabili contatti, possiamo persino tentare di rilevare con chi sta chattando», commenta Dal Checco.
Ahi, mi suona come un bug dovuto alla pigrizia degli sviluppatori. Si sa che i programmatori di Telegram non hanno svolto un lavoro di prima classe. Bisogna però distinguere: Questo è un problema solamente per persone specificamente sotto attacco – non è un problema di sorveglianza totalitaria.
Certo, è dura se bisogna correggere e commentare in modo scientifico l’accuratezza di ogni articolo che appare nella stampa. Interessantemente l’articolo non fa pubblicità a Signal come di solito in questo tipo di articoli.
