Molti avranno sentito parlare del polverone che si è sollevato attorno a Signal in relazione all'incidente di sicurezza avvenuto in seno all'amministrazione Trump.

Il fatto Il consigliere per la sicurezza nazionale degli Usa, Michael Waltz, inserisce per errore il giornlsta Jeffrey Goldberg dell'Atlantic in un gruppo ristretto su Signal, comprendente fra gli altri anche il vice di Trump, J.D. Vance e il direttore della CIA John Ratcliffe, dove si discuteva di piani, strategie militari e di relazioni diplomatiche molto delicate. La conseguenza Questo incidente, una volta venuto alla luce, ha scatenato com'è comprensibile, un vero putiferio per tanti motivi, uno fra tutti: perché il consiglio di sicurezza nazionale usa Signal, contravvenendo a tutti i protocolli interni di sicurezza che prevedono l'uso di protocolli e strumenti strettamente approvati (e Signal chiaramente non è fra questi)?

Dagli USA c'è stato un ovvio, disperato, e molto goffo tentativo ridimensionamento che ha avuto il solo risultato di provocare un boom di download di Signal negli USA di +45%

Mentre ancora non si registra nessuna vera risposta alla domanda “perché usare Signal”, anche se i fortissimi sospetti di una violazione estesa dei sistemi di comunicazioni statunitensi da parte della Cina sembrano suggerirla, il dibattito locale sul tema è veramente desolante.

È la stampa, bellezza! In particolare, due reazioni mi hanno veramente divertito (si ride amaro, eh) quella partorita da Rai News (veramente vergognosa) e quella involontariamente esilarante di FanPage.

Nella prima, già provocatoria dal titolo “La chat su Signal: ma è davvero sicura?”, si comincia con l'analisi del fatto fino a cadere nel ridicolo quando cerca di demonizzare un app, che nonostante i suoi limiti rimane una delle più sicure in circolazione, nel paragrafo lapidario “La bufala della sicurezza di Signal” affermando nella premessa ad effetto: “Certo, non è whatsapp e nemmeno telegram ma certo è che quella chat non è sicura e per diversi motivi.“

Senza spiegare MAI quali siano questi motivi se non provando ad attribuire a Signal, con una supercazzola magistrale, la cappella atomica fatta da Michael Waltz che ha aggiunto un giornalista ad una chat ristretta,

Seguendo questo ragionamento illuminante, allo stesso modo potrei aprire il cancello di un recinto che custodisce un gregge di pecore per far entrare un lupo e dare la colpa al cancello.

Infine, mi ha molto divertito anche la posizione di FanPage (che è fanpage, vabbè. È solo folklore) nell'articolo “Perché Signal non può essere utilizzata per condividere piani di guerra” di Elisabetta Rosso, dove, dopo la presentazione del contesto e una descrizione anche apprezzabile di Signal, FanPage, come e peggio di RaiNews, non teme di sprofondare nel ridicolo quando la giornalista affronta il tema della presunta “inadeguatezza” nel paragrafo “Perché Signal non è adatta per le comunicazioni governative“

Secondo Elisabetta Rosso “Uno dei problemi principali è la mancanza di integrazione con le infrastrutture governative” in virtù, spiega, della necessità di una “integrazione con i sistemi di sicurezza nazionale“ E, nonostante si possa essere abbastanza d'accordo, subito dopo raggiunge e supera le intuizioni di RaiNews facendo diventare tutto meravigliosamente grottesco quando sottolinea che l'integrazione di cui sopra è necessaria al fine di “garantire il pieno controllo sui dati e sugli accessi.“

È scritto proprio così ed è così evidente l'incomprensione della bestialità dichiarata che subito dopo rincara la dose sostenendo che:

1. siccome Signal è una piattaforma indipendente, espone comunicazioni a potenziali vulnerabilità (quali? dove? È tutto aperto e analizzabile. Audit di sicurezza indipendenti non li hanno ancora trovati ma Elisabetta Rosso sì)
2. siccome è un servizio esterno, “il governo non può monitorare direttamente le comunicazioni, né applicare misure di sicurezza specifiche per proteggere informazioni sensibili.“

E sarebbe proprio quest'ultimo punto la pistola fumante che attesta l'insicurezza di Signal. “Non stupisce quindi che persone non autorizzate possano accedere a conversazioni riservate, come dimostra il caso del giornalista nella chat dell'amministrazione Trump”, senza considerare che è proprio nel momento in cui ti inserisco in un gruppo che ti sto autorizzando ad accedere. Sarebbe stato diverso se questo giornalista fosse riuscito a catturare quelle conversazioni senza appartenere a quel gruppo. La fiera dell'assurdo.

In altre parole, l'insicurezza di Signal per Elisabetta Rosso risiede nel fatto che il governo non possa introdurre trojan che intercettino le comunicazioni. E ripensando al pericolo cinese, è probabilmente proprio questo il motivo per cui è stato usato.

“Come bisognerebbe comunicare?”, domanda la giornalista dal profondo della sua sapienza. Chi vuole, legga anche quest'ultimo paragrafo. Aggiungo solo che, secondo lei, una comunicazione, per essere veramente sicura, deve anche consentire una supervisione interna. Quindi violabile.

È tutto molto divertente ed è evidente come i concetti di sicurezza possano essere molto diversi.

Wired dal canto suo è uno dei pochissimi che analizza la questione molto bene(Caso Signal, e se l’uso dell’app da parte dei vertici del governo Usa non fosse un errore?).

Tutto il resto che si trova in giro, per quello che ho potuto leggere, è un vero pianto.

#signal #sicurezza

Sì, ma non come si potrebbe pensare.

Signal è vivo e lotta insieme a noi. E dopo le recenti genuflessioni di Telegram in merito alla privacy (che per la verità Telegram, strutturalmente, non ha mai garantito) è rimasto l'unico vero competitor, fra Whatsapp e Telegram appunto, che può garantire un invidiabile livello di sicurezza. L'unico neo, come è noto, era dato dalla versione desktop che non cifrava i dati a riposo e che signal.org aveva sempre delegato ad una cifratura di tipo Full Disk Encryption, lasciando però quello che sembrava a tutti gli effetti una bella voragine di sicurezza per un'applicazione che fa proprio della sicurezza il suo mantra

Purtroppo il passaggio alla 7.24.1 e conseguente rilascio della cifratura del db per i dati a riposo che colmava il gap, se da un lato faceva levare osanna e grida di giubilo, dall'altro innescava, in alcuni casi e solo su Gnu/Linux pare, il censimento dei santi del calendario per via della rottura del db di Signal.

Su Gnu/Linux l'unica versione disponibile è quella via flatpak, il repository per le distro debian-based al momento è indisponibile. L'aggiornamento va a modificare la chiave di cifratura contenuta nel file .var/app/org.signal.Signal/config/Signal/config.json, passando da una chiave in chiaro ad una cifrata, che però Signal non riesce più ad utilizzare.

Quando si avvierà Signal dopo l'aggiornamento, l'impossibilità di accedere al database, farà comparire questo errore (o simile)

che implica la perdita di ogni dato archiviato.

In altri casi l'alert può far riferimento all'indisponibilità di gnome-libsecret per la decifratura della chiave. E nel mio caso, Fedora 40 con Gnome 46, la cosa è abbastanza seccante. Sarà Flatpak che non si integra bene con Gnome? Non lo so, fatto sta che mi sono trovato con SignalDesktop KO

L'errore è stato già segnalato su https://github.com/signalapp/Signal-Desktop/issues/7029 con relativo workaround che prevede per ora il rollback alla versione col db vulnerabile.

1. È necessario disporre innanzitutto di un backup di signal pre-aggiornamento (non banale, me ne rendo conto) che abbia ancora la chiave in chiaro.

2. Successivamente bisogna fare un rollback alla versione precedente (7.23 o 7.22 per es.)

# Elenca tutti i commit disponibili su flatpak. Selezionare l'id delle versione di interesse.
flatpak remote-info --log flathub org.signal.Signal

# Esegue il rollback alla versione indicata
flatpak update --commit <indice del commit scelto> org.signal.Signal

3. Controllare che il file $HOME/.var/app/org.signal.Signal/config/Signal/config.json non sia in questo stato:

...
  "encryptedKey": "la mia chiave cifrata",
  "safeStorageBackend": "gnome_libsecret"
...

ma in questo:

...
"Key"="la mia chiave in chiaro"
...

4. In base alla versione del backup potrebbe essere necessario un rollback ancora più estremo. Un'indicazione viene data dall'esecuzione via cli che, nel caso flatpak corrisponde a lanciare:

/usr/bin/flatpak run --branch=stable --arch=x86_64 --command=signal-desktop --file-forwarding  org.signal.Signal 

Se dovesse comparire un errore di questo tipo (a me è successo)

Database startup error: DBVersionFromFutureError: SQL: User version is 1190 but the expected maximum version is 1150

allora occorre individuare qui il commit relativo alla versione di signal compatibile con la versione indicata dall'errore e ripetere i primi 2 punti.

Purtroppo, facendomi prendere dalla foga, ho pasticciato con le configurazioni prima di backupparle e non sono riuscito a fare più nulla, avevo perso la chiave in chiaro.

Ma magari, per altri, qualche speranza c'è.

EDIT: 04/10/2024

Ho riprodotto l’errore e il relativo rollback. Ecco come ho fatto.

Premessa importante

L’avvio di Signal-Desktop dopo l’aggiornamento alla 7.24.1 non spacca tutto come avevo erroneamente fatto intendere ma fa comparire un warning sulla possibilità di cifrare la chiave di cifratura del db (un’altra mia imprecisione. Il db non è mai stato in chiaro, è sempre stato cifrato ma la chiave è lasciata in bella mostra in chiaro. Quindi utile come una porta chiusa a 10 mandate con la chiave lasciata nella toppa), a tuo rischio e pericolo, facendo l’override di una variabile d’ambiente, SIGNAL_PASSWORD_STORE, impostata inizialmente a “basic” (in chiaro) e da impostare come “gnome_libsecret” per attivare la cifratura.

/usr/bin/flatpak --user override --env=SIGNAL_PASSWORD_STORE=gnome-libsecret org.signal.Signal

Che è quello che ho fatto anche io.

E la chiave in chiaro:

{
  "key": "la mia chiave in chiaro"
}

diventa:

{
  "encryptedKey": "la mia chiave supercifrata",
  "safeStorageBackend": "gnome_libsecret"
}

Purtroppo una volta fatto così, Signal cessa di funzionare perché la chiave non è più utilizzabile

Qual è il banale workaround?

Se volete provare il brivido dell’imprevisto, senza recuperare vecchi commit, anche dopo l’aggiornamento ma prima di fare l’override, bisogna fare un backup della cartella dati con un semplice tar:

tar -cf $HOME/signal_backup.tar $HOME/.var/app/org.signal.Signal

Facendo l’override e riavviando signal ecco che ricompare:

Per non correre rischi (magari è pure inutile) ho riscritto la variabile d'ambiente eliminando la cifratura:

/usr/bin/flatpak --user override --env=SIGNAL_PASSWORD_STORE=basic org.signal.Signal

Le scelte a questo punto sono due (verificate entrambe):

1. Ripristinare il backup dal tar che deve rimpiazzare completamente $HOME/.var/app/org.signal.Signal
2. Sostituire il solo file config.json in ~/.var/app/org.signal.Signal/config/Signal

#signal #bug #cifratura #sqlite

La versione 7 di signal riserva una bella novità: la comparsa di uno username univoco allo scopo di blindare ancora di più il numero di telefono, ritenuto da molti un vero e proprio tallone d'achille per un app di instant messaging che fa della sicurezza e della privacy il suo mantra. Il fine ultimo, in questo caso, è di permettere finalmente l'interazione fra utenti senza che sia necessario rendere noto il proprio numero di telefono perché, parola di Signal, a breve, per impostazione predefinita, il numero di telefono non sarà più pubblico di default (ma sarà sempre necessario per registrarsi al servizio).

Il numero di telefono non sarà più necessario ai fini della comunicazione e potrà non essere più reso disponibile nei profili associati al nostro contatto (a meno che il nostro numero non fosse già stato salvato).

Ci si assegna uno username univoco (lettere e almeno due cifre) e si impostano un paio di regole di visibilità in impostazione / privacy:

• la prima servirà a non mostrare più il numero di telefono nel profilo che conserva il nostro interlocutore.
• la seconda servirà a disabilitare la ricerca su Signal del nostro numero di telefono.

In questo modo, solo avendo il nostro username univoco, che non è un handle permanente ma può essere cambiato quante volte si vuole a patto di ricomunicarlo per essere rintracciati, sarà possibile interagire con noi.

Tutto molto bello però, a differenza di altre volte, ho qualche perplessità. Innanzitutto, la gestione della visibilità. Poco flessibile,troppo scarna, troppo draconiana: tutti o nessuno. Telegram e whatsapp fanno decisamente meglio ed essendo un amante del privilegio minimo, l'approccio di Telegram basato su white list è quello migliore per me, meno quello di Whatsapp basata su black list.

E in definitiva, perché serve ancora il numero di telefono e invece di adottare un modello username (anonimo)-centrico come Threema o Session?

Signal aveva bisogno del numero di telefono per costruire il famoso “grafo sociale”, numero di telefono che proteggeva con oram, enclavi sgx ed altre amenità. Ma se ora la funzione principale del numero di telefono viene meno, potendo impedire la ricerca e la comparsa nel profilo, come lo costruisco il grafo sociale? E dunque, perché non evolvere definitivamente verso uno username anonimo?

Domande a cui ancora non so rispondere.

#signal #oram #enclaveSgx

Dopo la seriosità del post precedente, ho bisogno di un po' di leggerezza 🙂

“In my humble opinion”, Signal è un buon client di instant messaging perché trovo che sia un buon compromesso fra un'ottima usabilità e un'attenzione, al limite del paranoico, alla sicurezza e alla privacy. Per questo motivo mi trovo ad annotare come “novità, qualcosa che in realtà sta sotto il “cofano”, sempre in nome del compromesso di cui sopra.

Nonostante questo, Signal è un client IM abbastanza completo disponendo di gruppi, chiamate audio e video (ultimamente anche di gruppo), messaggi effimeri e tutta quella parte di “abbellimenti estetici” quali gif, anteprime di link, stickers, reactions ecc. a cui gli utenti sono abituati e a cui non vorrebbero rinunciare.

Una delle ultime novità sono le “storie”, l'equivalente degli stati di whatsapp.

Allo stesso modo di Whatsapp, una “storia” è un contenuto (testo, url, foto, audio/video) effimero (24h), la cui fruizione non è basata sulla conversazione (il mittente sa chi sono i destinatari ma i destinatari hanno visibilità del solo mittente a cui, se vogliono, rispondono), su cui è possibile imporre delle restrizioni sui visualizzatori (tutti, un sottinsieme o a eccezione di….)

Dal punto di vista della privacy e della sicurezza le storie vengono trattate maniacalmente con crittografia E2E come qualsiasi altro contenuto Signal.

Il valore aggiunto delle storie di Signal sta nelle possibilità di configurare granularmente i fruitori delle medesime. Infatti è possibile permettere la visualizzazione delle storie:

• a tutti i nostri contatti con eventuale black list
• ad una white list

e fin qui è la stessa gestione di Whatsapp. Signal aggiunge la possibilità di:

• creare nuove white list a cui destinare le storie, posso averne diverse.
• selezionare una o più chat di gruppo invece dei singoli contatti. In questa modalità cambia anche l'interazione, perché nelle modalità precedenti ogni contatto interagisce col solo mittente e non vede le interazioni degli altri contatti. In questo caso invece le interazioni sono visibili e vengono condivise a tutti gli appartenenti ai gruppi come se fosse una chat di gruppo.

Una cosa che trovo molto comoda e che su Whatsapp costringe a smanacciare ripetutamente sulle regole di visibilità per non rischiare di far conoscere la nostra quotidianità a chi magari non interessa.

Riferimenti:

#signal

Premessa:

Signal ha bisogno del numero di telefono dell'utente per costruire il suo “grafo sociale”, vale a dire l'insieme di tutti i contatti, che sono anche account Signal, collegati a quello dell'utente. La privacy di questi dati sensibili è garantita da una crittografia forte sui server Signal.

Critica numero 1:

Signal non rispetta totalmente la privacy perché, ed è abbastanza evidente, per quanto possa crittografare, fa uso di un dato estremamente sensibile che è il numero di telefono dell'utente. Chi ci garantisce sul suo utilizzo? Non era meglio un account anonimo come fa Threema per es. ?

Critica numero 2:

Per un attaccante ben motivato, è possibile estrarre informazioni non banali sull'esecuzione di un programma e sulla natura dei dati con cui ha a che fare semplicemente osservando lo schema con cui accede a varie locazioni di memoria durante la sua esecuzione. La crittografia dei dati non è un deterrente sufficiente in questo caso perché ciò che viene catturato è un metadato in realtà.

Queste sono le critiche più comuni che vengono mosse a Signal e peraltro per nulla infondate. A questo punto sono andato un po' più in profondità nell'analisi per capire come Signal abbia affrontato questi problemi con l'obiettivo di non rinunciare alla facility del grafo sociale.

Soluzione alla critica numero 2:

Uso di enclavi SGX ^{[1] [2]} con implementazione ORAM ^[3] che, per dirla in maniera semplice, è un compilatore speciale che effettua uno scrambling del pattern di accesso alla memoria. Pur mantenendo intatta la semantica del programma, inteso come input che produce un output, il modo in cui il programma trasformato accede alla memoria è diverso da quello del programma originale, vanificando in tal modo gli sforzi di un attaccante basati proprio sulla ricerca di pattern di accesso alla memoria.

Da un lato, l'enclave, attraverso la crittografia della RAM, permette di isolare i dati e la loro elaborazione su un determinato server, offuscandoli anche ai proprietari/amministratori del server. Dall'altro, l'implementazione di ORAM sbriciola i pattern di accesso alla memoria impedendo di carpire informazioni contando sulla sola osservazione.

Implementare ORAM ha un costo notevole e solo da poco Signal è riuscita a ottimizzare questo processo rimpiazzando la vecchia scansione lineare con Path ORAM, rendendolo computazionalmente molto più efficiente ed aprendo nuove frontiere per il miglioramento della privacy.

Si parla di nomi utente, privacy del numero di telefono e possibilità di offrire un maggior numero di controlli sulla privacy del medesimo.

Soluzione alla critica numero 1:

Dalla “soluzione alla critica numero 2”, risulta che il “problema numero 1”, in realtà, non esista. Dunque non c'è bisogno di trovare una soluzione.

[reprise] Soluzione Riflessione alla critica numero 1:

1) Salve, sono l'avvocato del diavolo

Per quanto Signal abbia proprio un altro passo rispetto alla concorrenza (e lo preferisco di gran lunga agli altri), il fatto che si basi sul numero di telefono di ogni utente per costruire il grafo sociale relativo, implica da una parte un'innegabile facility, dall'altra uno sbattimento notevole fra enclavi, oram e altre robe che richiedono, tempo (di sviluppo e computazionale), server e soldi.

Non costituisce un problema lato utente ma, cambiando prospettiva (l'avvocato del diavolo, appunto), mettendoci nei panni di Signal certamente sì.

Oltretutto, il primo livello di protezione, l'enclave SGX, era passibile di diversi attacchi nelle prime versioni dei processori Intel che le supportavano.

2) Non di sole facility vive l'uomo

Se non ci fosse il numero di telefono ma solo un nome utente anonimo (che permette comunque di effettuare un certo numero di controlli), niente enclavi, niente oram, niente sbattimenti. E niente grafo sociale, ovvio. L'utente dovrà farselo a mano aggiungendo via via le identità.

Basta usare account anonimi e la privacy è salva.

Nonostante se ne sia parlato parecchio e che l'argomento ricorra periodicamente, non mi trova particolarmente d'accordo.

Dove e a chi è soprattuto utile Signal?

L'esperienza Snowden dovrebbe averlo insegnato: dovunque ci siano regimi dittatoriali, dissidenti o soggetti passibili di spionaggio governativo.

In quei casi, di chi si dovrebbe fidare l'utente? Di un numero di telefono che, si suppone, sia già trusted, o di un account per il quale il processo di verifica, soprattutto in quei contesti, è tutt'altro che banale?

3) Conclusioni

Dovendo scegliere, ovviamente sceglierei il minore dei due mali, vale a dire il numero di telefono perché: 1. mi dà maggiori garanzie che dietro quel numero ci sia chi dice di esserci. 1. un mistificatore si può nascondere facilmente dietro un falso account. Attaccare un enclave SGX e un'implementazione ORAM è tutt'altro che banale e alla portata solo di impianti governativi ben motivati e danarosi.

Quindi ben vengano enclavi, oram e varie. E ovviamente le facility del grafo sociale.

Riferimenti:

Note:

#privacy #signal

Signal è senza dubbio un buon prodotto. Personalmente,ho valutato i 3 client principali in seguito alla gazzarre che si è scatenata qualche giorno fa. Ma… c'è un “ma”. Una cosa su cui mi sono voluto soffermare, è Signal Desktop. Comodissima da usare per chi, come me, passa 8-9 ore davanti ad un pc ma con un lato oscuro mica da poco. La volta scorsa, nella mia analisi, ho cercato di raccogliere tutto quello che potesse costituire una minaccia alla privacy dell'utente. Da lì, Signal è emerso bello, prepotente e gagliardo. Cifra tutto, nulla viene lasciato in chiaro sacrificando poco sulle funzionalità che stanno rapidamente evolvendo a quanto sembra. Ma sull'app desktop il paradigma cambia. Signal Desktop, come Whatsapp, usa un backend sqlite come strato di persistenza:

• Punto 1: Gli allegati sono in chiaro (e già questo mi sembra abbastanza discutibile)
• Punto 2: Il contenuto, benché cifrato, può essere decriptato velocemente sotto certe condizioni.

BASE_PATH:

• ~/.config/Signal [Gnu/Linux]
• ~/Library/ApplicationSupport/Signal [MacOS]

DB: $BASEPATH/sql/db.sqlite KEY: si trova in $BASEPATH/config.json. Può essere estratta dal file di configurazione con un parser json come jq.

BASE_PATH=~/.config/Signal
DB=${BASE_PATH}/sql/db.sqlite
KEY=$(jq -r '."key"' ${BASE_PATH}/config.json );
sqlcipher -list -noheader ${DB} "PRAGMA key = \"x'"${KEY}"'\";select json from messages;" > ~/signaldb_clear.txt;

Quali possono essere le conseguenze? Chi ha accesso (fisicamente o attraverso un malware) alla macchina potrebbe decifrare il database istantaneamente oppure potrebbe fare un dump dell'intera cartella per lavorarci offline.

Per mitigare l'eventualità, lo stesso confondatore, Moxie Marlinspike, suggerisce di ricorrere a tool di terze parti. Nello specifico si parla della cifratura del disco di tipo FDE o FBE.

In linea di principio la posizione ufficiale di Signal è che la crittografia a riposo per sqlite non è mai stata un obiettivo. Sqlite viene cifrato da sqlcipher con una chiave che non è mai stata concepita per essere mantenuta segreta.

L'obiezione sollevata da molti però (e anche abbastanza condivisibile) è che la crittografia dei dati è abilitata su Android/iOS (nulla viene scritto in chiaro sul device, cifratura e decifratura avvengono in memoria) nonostante la cifratura stessa del device sia ormai il default. Non lo è sull'app desktop dove la cifratura del disco invece NON È il default.

Insomma una situazione sul desktop per Signal simile a quella di Whatsapp sul mobile (database cifrati ma con possibilità di decifratura disponendo della chiave in chiaro) che si può comprendere, immagino, solo se si considera la diversità dei mondi su cui girano queste applicazioni: utenti tendenzialmente meno smaliziati per la parte mobile, al contrario di quelli desktop dove, probabilmente, si presuppone un grado di intervento e una capacità di cura per i propri dati differente.

Altre obiezioni nel tempo sono state mosse per l'assenza, in Signal Desktop, di una funzionalità di blocco con password (come in Telegram per es. che però serve anche ad abilitare la cifratura dei dati in locale) che, in assenza della quale, consentirebbe di accedere ai contenuti delle chat. Una volta ottenuta la disponibilità del desktop, chiaramente (ad es. se ci si allontana dalla sedia). Anche in questo caso, Signal risponde abbastanza laconicamente sostenendo che c'è un “blocca desktop” già offerto dal proprio sistema operativo, prima di pensare al blocco dell'app (non ha tutti i torti in effetti. Questa visione altrimenti andrebbe estesa ad ogni applicazione).

In buona sostanza, la tendenza sembra sia ancora quella di non far ricadere sull'app compiti che, si reputa, non le spetterebbero. Considerazione anche condivisibili ma che vanno a minare un po' l'usabilità del prodotto perché ci si rende conto di quanto il confine fra sicurezza chiavi in mano e necessità di intervento da power user diventi sempre più sottile.

In ogni caso, dal momento che il valore della sicurezza di un sistema informatico è quello del suo anello più debole, direi che Signal Desktop è la parte che necessita di maggior attenzione per l'utente, che altrimenti vedrebbe vanificati tutti i suoi sforzi nell'utilizzo di un sistema di comunicazione sicuro.

N.B. Sto solo mettendo in luce quella che a me sembra una debolezza di un sistema di comunicazione che fa della sicurezza il suo mantra. Il confronto con Whatsapp è ingeneroso e anche fuorviante in questo contesto. Posto che il problema non sia tanto chi metta mani fisicamente sul dispositivo (sia in questo caso che nel confronto precedente), la falla nella privacy imputabile a Whatsapp risiede nella condivisione dei metadati che attua con Facebook, al di là delle speculazioni su come sia possibile ricavare dei dati dal dispositivo stesso.

Aggiornamento: Con la versione 7.24.1 signal.org aggiunge la crittografia dei dati a riposo anche alla versione desktop

#signal

Tutto è cominciato quando Whatsapp ha “minacciato” di disabilitare, o peggio, cancellare gli account di coloro i quali non avessero accettato le nuove condizioni sulla privacy entro l’8 febbraio.

È scoppiato il finimondo. Gli ultimi giorni sono stati contrassegnati da una sorta di isteria collettiva. Imperativo: passare a Signal perché “whatsapp ci spia”, “whatsapp ci ruba tutti i dati”. Non credo che tutto questo abbia molto senso perché credo sia sfuggito il dettaglio su ciiò che Whatsapp vuole realmente utlizzare e da lì ad “Whatsapp ci ruba tutto” è stato un attimo.

Ho provato allora a mettere insieme pro e contro di ognuno ma tutto ciò costituisce una mia personalissima valutazione e non ha la pretesa di stabilire quale sia il migliore in assoluto, ma solo quello che a me sembra il migliore.

WHATSAPP

• Come Signal, il protocollo usato dal 2016 è Signal Protocol (aka AxolotlKit) su cui lavorano algoritmi di cifratura molto robusti.
• Come Signal, la cifratura è sempre end-to-end, vale a dire che i dati delle chat, tutti, vengono cifrati sui dispositivi senza intermediari e non c’è nessuno al mondo che possa intercettarli, né decifrarli. No, nemmeno Whatsapp.
• Come Signal, la crittografia usata è molto, molto forte.
• Come Signal, c’è la possibilità ulteriore di usare messaggi a scomparsa (messaggi effimeri li chiama)
• Per mitigare la possibilità di attacchi MITM, Whatsapp permette di controllare i dispositivi connessi, di attivare una doppia autenticazione via PIN per impedire la registrazione di terminali non autorizzati e di controllare la chiave di ogni utente attraverso una chiave o il corrispondente qrcode.
• Dal 2016, Whatsapp cifra il database locale, la chiave di decifratura è sul dispositivo stesso.
• Ad oggi, Whatsapp non dispone nativamente di funzioni che impediscano la registrazione dello schermo.
• Whatsapp non cifra i backup. ^[1]
• È stato sviluppato da Brian Acton, uno dei fondatori di Signal (e Signal lo ricorda abbastanza) scappato da Whatsapp/Facebook perché è un idealista (ma non è fesso. Quando ha venduto, lo ha fatto per 19 miliardi di dollari), non gli garbava l’idea di Facebook di monetizzare con la pubblicità un servizio che lui reputava fondamentale per la libertà.

(Paradossalmente, il maggiore beneficiario di questa follia è stato Telegram che viene considerato meno sicuro di Whatsapp)

TELEGRAM

• La potenza di Telegram, quella che lo rende insostituibile per certi versi, è il fatto di essere esplicitamente un “client di messaggistica basato sul cloud“. Tutte le nostre chat, i nostri dati stanno sui server di Telegram. Questo rende possibile per es. usare una molteplicità di client diversi anche in contemporanea, tutti sincronizzati, sullo stesso account.
• La cifratura non è end-to-end ma è client-server-client. I dati sui server sono cifrati sui server e le chiavi di decifratura sono delocalizzate per impedire anche agli amministratori di accedere ai dati.
• La cifratura end-2-end è solo on-demand (chat segreta) e non per i gruppi.
• Nella chat segreta è possibile impostare l’autodistruzione per i messaggi.
• Gli algoritmi di cifratura (sia quella cloud che quella end-2-end) fanno capo ad un protocollo proprietario, MTProto 2.0, progettato dal fratello del fondatore, Nikolaj Durov, matematico, crittografo e informatico di indubbio valore. Più volte è stato giudicato poco affidabile ma non risulta che nessun attacco sia mai andato a buon fine e la stessa Telegram Inc. offre un notevole compenso a chi riesce a rompere la cifratura del suo sistema.
• Telegram cifra i dati sul dispositivo solo se si utilizza il “codice locale”.
• Essendo un sistema di messaggistica nato per il cloud, i dati, così come le chiavi di decifratura, sono frammentati su una molteplicità di server sparpagliati in varie parti del mondo per una precisa scelta strategica. Il recupero dei dati, oltre che essere tecnicamente molto difficile, anche legalmente risulta impossibile da attuare dovendo mettere d’accordo una serie di giurisdizioni tutte diverse fra loro.
• Essendo un client per il cloud, anche Telegram offre (non impone) deterrenti per mitigare attacchi MITM come la doppia autenticazione (se abilitato, ogni client per connettersi deve essere autorizzato da una password che, si spera, conosciate solo voi) e il controllo dei dispositivi connessi.
• Ci si deve fidare della parola di Pavel Durov, il suo fondatore, che ha sempre sostenuto di voler favorire una comunicazione sicura, evoluta e alla portata di tutti e che mai avrebbe ceduto la sua creatura o avrebbe permesso intrusioni. Finora è stato così e lo stesso Pavel Durov ha rigettato al mittente russo la richiesta di fornire le chiavi di decifratura, ragion per cui Telegram in Russia è stato bandito.
• Il client di telegram è open source. Il server è closed.

SIGNAL

• Parte da Whatsapp, a partire dal suo co-fondatore, e va molto oltre.
• Signal non registra numeri di telefono ma usa solo i suoi hash crittografati.
• Signal usa un pin, numerico o alfanumerico lungo a piacere, come identificativo (e come base per una chiave crittografica) per recuperare profilo, contatti, impostazioni secure value recovery.
• Per la mitigazione di attacchi MITM, Signal permette di controllare la registrazione del dispositivo master su Signal (e bloccarlo, all’occorrenza) attraverso il PIN, di controllare tutti i dispositivi collegati e di verificare ogni singolo utente attraverso la sua chiave o il suo corrispondente qrcode.
• Signal riduce al minimo i dati da conservare con la tecnica del “mittente sigillato” sealed sender vale a dire che, in una comunicazione anche crittografata end-2-end, normalmente, mittente e destinatario devono essere noti. Con Signal, anche il mittente viene incapsulato nella crittografia.
• Signal cifra tutti i dati anche sul dispositivo. Il db locale dell’app è completamente cifrato.
• Signal non esporta backup sul cloud. Il backup che produce Signal è cifrato e rimane sul dispositivo
• Signal dispone di una funzionalità che impedisce lo screenshot. In questo modo, app malevole che hanno il compito di registrare l’attività dell’utente attraverso registrazioni dello schermo sono disinnescate.
• Il client e il server di Signal sono open source e disponibili per l’analisi su github.
• Signal ha superato con successo un audit di sicurezza nel 2014.
• E la quantità di metadati che Signal promette di eliminare nel futuro sarà ancora maggiore (abbandonare anche il numero di telefono per la registrazione ma affidarsi ad un nickname univoco, tanto per dirne una, e la blindatura sarebbe totale).

Sono tutti potenzialmente validi. Ma allora perché non accettare le nuove condizioni sulla privacy di Whatsapp?

1. Nessuno sa cosa faccia il client sui dispositivi (a differenza di Telegram per es. e ovviamente di Signal). Le comunicazioni sono cifrate, e su questo non ci piove, ma dal momento che Whatsapp, come tutti i client di messaggistica, ha bisogno di impastarsi sui dispositivi su cui gira, data la numerosità di permessi richiesti, nulla vieterebbe di pensare ad una vera e propria attività di spyware sul dispositivo verso i server di Facebook, a meno di non sniffare e certificare tutto il traffico compiuto dall’app. Ipotesi da cospirazionista , lo so (e francamente la vedo poco probabile), ma il software è chiuso ed ogni ipotesi diventa lecita.
2. Posto che, come ci auguriamo, nulla di illecito succeda nell’app, è il suo incrocio con Facebook e Instagram il vero problema: tutti i metadati che Facebook conserva (non le chat, ecco il nocciolo, ma una pletora di altre info che sono comunque miniere d’oro se date in pasto a software di data mining) come numero di telefono, posizione, ora di connessione, utilizzo, attività sulle 3 piattaforme ecc.
3. Incrociando tutti questi dati è possibile profilare un utente fino al midollo (è questo che chiede Whatsapp, non le vostre chat). Anche se per whatsapp fosse noto solo il numero di telefono, se questo venisse incrociato con il profilo su facebook, non ci sarebbe più bisogno di Whatsapp per la profilazione.
4. Whatsapp cifra tutte le comunicazioni. Ma la cifratura del contenuto locale sul dispositivo è approssimativa (la chiave può essere estratta dal file db.crypt12), i backup non lo sono (la cifratura è ancora in beta). Volendo, non c’è mai stato bisogno di rompere la cifratura delle comunicazione end-2-end per avere accesso ai dati.
5. Usare Whatsapp in maniera un po’ più sicura è possibile. Basta disattivare il backup sulle varie nuvole innanzitutto.

CONCLUSIONE

Funzionalità: La scelta è solo una, non ci sono dubbi: Telegram. Ha una quantità di features, anche di livello enterprise, per la distribuzione di contenuti e la gestione di gruppi di lavoro, sontuosa: canali (integrati o meno con) gruppi, controllo fine dei permessi per gli amministratori, pools, stickers, gestione dei temi, aggregazione delle chat in cartelle, markdown e possibilità di espandere all’infinito le funzionalità con l’utilizzo dei bot.

Cifratura: Nulla di dire. Secondo me, tutti e tre, sono ottimi e imperforabili.

Privacy: Escludiamo subito Telegram per la sua natura cloud. Anche se le chat su Whatsapp sono sicure, sappiamo che le minacce per la privacy arrivano da altrove. Inoltre, aumentando il grado di paranoia, i dati sul dispositivo, benché cifrati, possono essere decriptati disponendo della chiave di decifratura E anche i backup, almeno finché non venga implementato il Protect Backup, costituiscono un altro punto debole . Poi c’è il discorso dei metadati di sui si parlava prima, vero punto nodale della questione per il quale s’è sollevato tutto questo polverone.

Mettendo insieme tutte queste considerazioni, Signal risulta nettamente superiore agli altri competitor dal punto di vista della privacy e della sicurezza. Passare a Signal è cosa buona e giusta, ma non “perché ora Whatsapp ruba i nostri dati” (non è vero. O meglio, se lo fa, avviene in un modo un po’ più subdolo di quello che si legge in giro), è solo perché fa il suo lavoro maledettamente bene.

P.S. Una delle obiezioni più abusate di questo periodo sull’attaggiamento (ingiustificatamente) paranoico è che noi italiani / europei non avremmo nulla da temere perché abbiamo il fantastico scudo spaziale del GDPR. Sarà… ma una delle cose che disgustò Acton quando decise di andare via di corsa, oltretutto bruciando volontariamente 850 milioni di dollari di opzioni che sarebbero maturate di lì a poco, fu il fatto di essere stato istruito dai dirigenti di Facebook su come ingannare i regolatori europei chiamati ad indagare sull’intenzione di Facebook di unire i dati di Facebook e Whatsapp...

Note: 1. Non è più così. Da settembre 2021 Whatsapp ha esteso la cifratura E2E anchhe sui backup ^[↵]