Nelle ultime settimane a fronte degli ultimi attacchi a Parigi, i servizi di messaggistica con crittografia end-to-end come Whatsapp, Telegram sono stati messi sotto attacco. Rei di facilitare le conversazioni tra terroristi, questi servizi sono sotto l’occhio del dibattito pubblico: è necessaria una maggiore sicurezza a discapito di meno privacy o il contrario?
Rispetto a 5 anni fa, la richiesta di maggiore privacy da parte del singolo cittadino è aumentata considerevolmente. Dallo scandalo Snowden sul Datagate in poi, anche i Governi si sono dovuti quindi adattare a questo trend della crittografia end-to-end. Un trend trasformatosi subito in un business nel quale si offrono app di messaggistica come iMessage, Whatsapp, Telegram o servizi email come Protonmail che apparentemente terrebbero sicure le nostre conversazione, le nostre email, i nostri file, ma non funziona proprio così.
Secondo quanto pubblicato in un articolo di Nathan Freitas sulla rivista del MIT Technology Review, la crittografia end-to-end non è di per se così protetta come si vuol far credere, ed esistono almeno 6 modi per eluderla da parte dei governi. La chiave di volta sono i così detti ‘metadati’, ovvero informazioni che descrivono un insieme di dati.
- Se qualcuno ha con se un telefono, ogni movimento, telefonata, accesso a Internet viene monitorato e registrato dal gestore di telefonia mobile. L’accesso a questi dati, spesso non richiede un mandato, ma solo il numero di telefono in questione e un contatto presso la compagnia telefonica.
- Le applicazioni di messaggistica come WhatsApp e Telegramm richiedono agli utenti di registrarsi con i propri numeri di telefono. L’utilizzo delle app è legata al numero di telefono fornito, e quindi anche tutti i contatti con cui uno parla hanno un numero di telefono registrato. Una volta ottenuto il numero, basta leggere il paragrafo 1.
- Il tipo di crittografia implementata in applicazioni tradizionali oggi non è automatico. Anche in servizi conosciuti per i loro sistemi come WhatsApp e Apple, sapere quando e come la crittografia è attiva e verificare se funziona non è chiaro. È quindi possibile disabilitare l’accesso o ridurre il livello di crittografia su un singolo utente, senza che l’utente sappia.
- Anche una chiacchierata con crittografia end-to-end può essere monitorata se l’applicazione supporta le chat di gruppo o sincronizzazione le conversazioni tra più dispositivi. Se si aggiunge, tramite il fornitore del servizio, un nuovo dispositivo a un account o se si aggiunge un partecipante in un chat senza avvisare gli utenti esistenti, si può facilmente monitorare qualsiasi conversazione.
- La crittografia di tutti gli archivi di uno smartphone non è attiva in modalità predefinita su Android, ma solo su iOS (quando il dispositivo è spento ndr.). La maggior parte di queste applicazioni non sono neanche protette da password. Ottenere l’accesso a un telefono con lo schermo sbloccato è più semplice di quello che si creda. Una volta dentro, tutti gli archivi dati del cellulare sono a rischio.
- La maggior parte dei dati stipati in cloud sono cifrati in modo che siano protetti da attacchi esterni, anche nessuno pensa che dovrebbero essere protetti anche da attacchi interni. Alcuni servizi dicono che usano crittografare i nostri dati, ma questo significa che sono loro gli unici in possesso delle chiavi di crittografia e non l’utente. Basta quindi avere l’accesso a un cloud backup di tutti i messaggi, contatti, calendari, foto, dati di localizzazione, (dati che l’utente è solito in maniera inconsapevole salvare sul cloud ndr.) per avere tutto quello che ci serve su questa persona.
