#331 – Messaggi crittografati e Telegram

Una volta, solo una vorrei leggere sui giornali delle notizie di tecnologia non dico precise, ma almeno corrette, perché se so che non tutte le persone sono nerd come me e sono una piccola percentuale di questo mondo, è giusto che le persone non nerd abbiano le informazioni dette in modo chiaro e semplice, ma giusto, non inventato o arronzato o, peggio, solo per attirare il click.
E io lo vedo per la tecnologia, chissà che succede in tutti gli altri ambiti in cui sono molto ignorante.
Hanno arrestato Durov, il fondatore di Telegram.
Le testate hanno iniziato a parlare di Telegram e lo hanno fatto male.

Prima di iniziare, una piccola nota di servizio.
A partire da questa puntata, il canale dove pubblicavo le puntate verrà dismesso, per me è un lavoro aggiuntivo sostanzialmente inutile, i link alle nuove puntate verranno inseriti nel gruppo del podcast, il posto giusto dove parlarne.

Ho fatto tanto tempo fa una puntata su Telegram, la 120, ma anche la 141. Mezzo mondo odia Telegram, per due motivi.
Al suo interno è noto che ci siano gruppi gestiti da persone terribili che si scambiano materiale terribile e l’azienda non è mai stata propensa a collaborare con la giustizia per aiutarla a trovare queste persone terribili.
Non entro nel merito di questa questione, non fa parte del contenuto di questo podcast ed è un ginepraio dentro il quale non mi voglio infilare, trovate discussioni su questo tema in molti altri posti.
Aggiungo che per ogni dove si possono fare attività illecite, su una marea di piattaforme online e luoghi offline, non solo su Telegram.
Sui giornali ho letto, ovunque, che il problema di Telegram è la crittografia, per questo è difficile andare a trovare le persone che condividono il materiale illegale.
Ecco, è sbagliato, profondamente sbagliato.
E dirlo è pericoloso, per tutti noi, certe parole hanno un peso e queste sono pesantissime.
La parte tecnica.
Cosa vuol dire che un sistema di messaggistica è crittografato?
Ne abbiamo parlato già molte volte qui, ma è bene fare un piccolo ripasso.
Mario deve scrivere a Sonia.
Mario genera la sua coppia di chiavi di crittografia, quella pubblica e quella privata, Sonia fa la stessa cosa.
In qualche modo, si scambiano le chiavi pubbliche.
La teoria dice che si trovano e se le scambiano di persona, ma si può fare anche in modo digitale.
Quando Mario deve scrivere a Sonia, codifica il messaggio con la chiave pubblica di Sonia, manda il messaggio e l’unico modo per leggerlo è decodificarlo con la chiave privata di Sonia, che lei avrà tenuto con la massima cura.
Durante il transito nessuno sarà in grado di decodificarlo.
La stessa cosa farà Sonia per rispondere, scrive il messaggio, lo codifica con la chiave pubblica di Mario, lo spedisce e, arrivato a destinazione, solo Mario, con la sua chiave privata che ha solo lui, potrà decodificarlo.
Questa è la crittografia End to End in parole semplici.
Se usate Whatsapp e Signal questo sistema è preconfigurato di default nell’app, quando scrivete a qualcuno, le due app dei due telefoni si organizzano e fanno lo scambio di chiavi.
Il contenuto dei messaggi passa sui server dei gestori sempre crittografato e nessuno potrà mai leggerlo.
Neanche le forze dell’ordine quando hanno accesso tramite rogatoria internazionale.
Il contenuto. I metadati sono invece leggibili. Mario ha scritto a Sonia in questa data, a quest’ora da questo posto. Questo è un metadato. Li mettete insieme e a volte non vi serve neanche il contenuto, ma è un altro discorso.
La crittografia nella messaggistica tra le persone è una cosa importante, e fondamentale nel diritto alla riservatezza delle conversazioni.
Vi dà fastidio se vi arriva una lettera già aperta, vero? Ecco, se sapeste che qualcuno può leggere il contenuto dei vostri messaggi è la stessa cosa.
La crittografia garantisce che nessuno possa leggerlo.
Per nessuno intendo il gestore della piattaforma o eventualmente le forze dell’ordine che ne chiedano l’accesso, non c’è modo.
Telegram, per impostazione predefinita, non ha la crittografia dei messaggi.
Avete capito bene. I messaggi che vi scambiate tra amici, parenti o nei gruppi non sono crittografati, non c’è scambio di certificati e non sono protetti.
Questo non vuol dire che se qualcuno si mette con wireshark sulla rete, guarda passare i pacchetti e legge le conversazioni, le API sono comunque protette da https tra il vostro dispositivo e i server di Telegram, ma quando i messaggi e gli allegati arrivano sui server di Telegram sono in chiaro.
E lì restano, fino a che non li cancellate. Sempre che la cancellazione sia reale, questo nessuno può garantirlo.
Questa differenza spero che sia chiara.
Se perdete il telefono e non avete un backup delle chat di Whatsapp, ciao, le avete perse tutte.
Se perdete il telefono e fate logon su telegram su quello nuovo, ecco che sta tutto lì, da quando avete creato l’account.
Sta tutto sui server di Telegram, in chiaro. Lo ripeto perché deve essere una cosa che vi rimane in testa.
Volendo si può attivare la crittografia End to end, come su Whatsapp e Signal, selezionate l’utente con cui volete attivarla e nelle opzioni selezionate “chat segreta”, a questo punto c’è la crittografia, ma funziona solo sul dispositivo da cui l’avete fatta partire, non su tutti gli altri. E chi l’ha analizzata ha detto che viene applicata in un modo non proprio come standard vorrebbe, insomma ci si fida sempre più di Whatsapp e Signal.
Nei gruppi non è possibile attivare la crittografia, tutti i gruppi, i messaggi, gli allegati e i contenuti sono sui server di Telegram in chiaro. L’avevi già detto? Lo so, ma lo ripeto.
Se Telegram decidesse di iniziare a collaborare con le forze dell’ordine sta tutto lì. Messaggi, allegati e soprattutto utenti e relativi numeri di telefono.
Ma anche se qualcuno dovesse violare i server di Telegram e vendere tutto al miglior offerente.
Quante cose riservate ci sono sopra che pensavate fossero private? Ecco, non lo sono.
Tutto quello che sta sui loro server, anche le cose illegali e più orribili sono lì perché Telegram ha detto “fidati di me”. Ma che davvero?
Ma tanto io non ho niente da nascondere, chi se ne frega.
Questa è una di quelle che cose che si sente dire spesso, ed è una grande fesseria.
Vi faccio tre esempi.
In alcuni stati USA l’aborto è vietato, si va in carcere. Le donne che vogliono abortire lo fanno in modo illegale, perché l’aborto puoi vietarlo, quello che diminuisce sono gli aborti legali, non il numero di aborti.
Le autorità hanno chiesto a Meta l’accesso alle chat di Messenger che non sono crittografate E2E ed ecco che hanno arrestato la donna.
Il portavoce di un attuale ministro anni fa scrisse in chat cose poco simpatiche. Per un’indagine non correlata a lui queste chat finirono agli atti e a un certo punto sono finite in mano a un giornalista, che le ha pubblicate e lui si è dimesso, perdendo il lavoro.
Non importa in questo caso il contenuto delle chat, quello che importa è che qualcosa che si pensava fosse riservato, in effetti non lo era, ad un certo punto è diventato pubblico ed ecco che si perde il posto di lavoro.
Hanno violato anni fa un sito di incontri gay, hanno pubblicato tutto, c’è gente che si è ammazzata.
Le conversazioni, di qualunque genere, hanno il sacrosanto diritto di essere riservate.
Abbiamo sfatato due errori gravi.
Il primo è che telegram non è un sistema di messaggistica crittografata.
Il secondo è che non abbiamo cose da nascondere.
Abbiamo detto qual è il problema di Telegram nel mondo, al suo interno, tra le varie cose, ci sono mercati di nefandezze e la società non si è mai impegnata a rimuoverle o a collaborare con le forze dell’ordine.
Arriviamo all’ultimo punto, che è un errore importante e fondamentale, e si basa sui primi due.
Dire che Telegram è pericoloso perché è crittografato, vuol dire che la crittografia è pericolosa, quella che ci permette la riservatezza delle conversazioni.
State attenti, dire questo vuol dire che cedereste la vostra riservatezza delle conversazioni in nome della sicurezza.
Questa cosa è grave ed è pericolosa.
Per fare le indagini ci sono le forze dell’ordine che si devono adeguare alla tecnologia, non devono distruggerla del tutto in nome della sicurezza. Perdere il diritto alla privacy in nome della sicurezza è una cosa grave e pericolosa, forse non ci si fa caso in un paese democratico, ed è già un errore, poi le cose cambiano e siamo fregati tutti.
Su Telegram c’è il gruppo del podcast, dove si dicono cose che si potrebbero dire in un forum pubblico e indicizzato su Internet, per questo non mi sono mai posto il problema.
Se lo usate, fatevi due domande.
Se avete qualche dubbio, passate ad altri sistemi.
Ma fate attenzione, l’anonimato in rete non esiste. Protonmail, servizio di mail crittografate, su richiesta di un giudice, ha dovuto fornire alcuni log della sua piattaforma relativi a una casella di posta. Non ha potuto fornire il contenuto delle mail, in quanto la tecnologia che usa non permette loro di avere accesso, in alcun modo.
Con questi log, le forze dell’ordine sono riusciti a rintracciare la persona che stavano cercando.
Prima di chiudere vorrei dare alcune altre informazioni su questa piattaforma, che in effetti ormai più che un sistema di messaggistica, è più assimilabile a un social network.
Tra tutti i sistemi di messaggistica è l’unico, facile da usare, che permette di fare gruppi, sani, come quello del podcast, dove le persone non devono condividere per forza il proprio numero, cosa automatica nei gruppi di Whatsapp. Io odio i gruppi di whatsapp dove tutti hanno il mio numero. Questo ha portato ai gruppi pessimi, ma anche ai gruppi sani dove la gente non ti chiama perché ha il tuo numero per caso.
Telegram, sempre per questo motivo, permette alle persone di comunicare con altre con uno pseudonimo, se fate parte di una minoranza a rischio sapete bene cosa possa voler dire.
Le API di telegram sono fenomenali, funzionano bene, sono potentissime e sono di una facilità estrema da usare, è usato in combinazione con un sacco di altre piattaforme per comunicare, come ad esempio notifiche di HA, io ho creato un intero sistema di domotica tutto basato su Telegram, c’è il porting delle API per Arduino, si possono fare bot per ogni cosa.
Perdere Telegram sarebbe un problema.
Se lo dovessero chiudere, cosa ne sarà del gruppo del podcast? Non ci ho pensato, per adesso.

Pillole di Bit è un podcast gratuito da sempre e disponibile per tutti, ma realizzare un podcast ha dei costi in servizi, hardware e software.
Ma non solo, ha anche bisogno di un ritorno in soddisfazione per chi lo produce, settimana dopo settimana, da quasi 10 anni.
Per coprire costi e soddisfazione voi ascoltatori potete contribuire in modo pratico, mettendo mano al portafogli, con una donazione, che sia ogni tanto o un abbonamento mensile, dell’importo che volete, basato su quanto potete permettervi e quanto vale per voi la produzione e i contenuti delle puntate.
Ogni volta che vedo una notifica, sono contento, vuol dire che il mio lavoro ha generato un valore reale.
Potete farlo in modi diversi, tramite Satispay, Paypal o con il Value for Value, con le applicazioni che lo gestiscono, se volete più informazioni sul value 4 value potete fare riferimento alla puntata 297.
I più sinceri ringraziamenti vanno a chi ha voluto donare qualcosa in questa settimana, nel dettaglio
Le donazioni spot
AlessioE chi usa il value for value
jackal
nicola gabriele
federico
anonimo
Oltre a donare direttamente, potete anche usare i link sponsorizzati, che a fronte di un vostro ordine, a me riconoscono una percentuale, come Amazon o uno dei migliori provider internet che potete trovare sul mercato: Ehiweb, per loro metto la mano sul fuoco, tutte le persone che si sono abbonate mi hanno dato feedback estremamente positivi.
Il podcast cresce anche con il passaparola, diffondete l’ascolto dei podcast con amici, colleghi e parenti, ce ne sono molti da ascoltare, di ogni genere e ognuno può farsi la propria stazione radio personalizzata, anche con Pillole di Bit al suo interno, i nuovi ascoltatori sono sempre una cosa bella.

Qualche mese fa ho fatto un po’ di puntate sulla domotica, parlando spesso di Home Assistant. Vi ho fatto un’introduzione per iniziare a pacioccare un po’ e vedere se rendere la vostra casa un po’ più smart poteva essere un’attività interessante.
Adesso vi invito ad ascoltare le puntate 678 e 679 di Easy Apple, mettetevi comodi, durano un po’ più di un’ora ciascuna, dove Federico e Luca vi raccontano, con dovizia di particolari, le loro installazioni.
Ecco, io sono un novellino, loro sono dei draghi.
Hanno automatizzato il mondo con moltissimi device diversi, marche diverse e protocolli diversi.
Sono da ascoltare per farsi venire le idee da applicare a casa vostra.
Piccolo dettaglio che hanno omesso: entrambe le installazioni sono esposte su Internet, condizione necessaria per far funzionare certe integrazioni come SmartThings e Amazon Echo.
Non vi pentirete dell’ascolto, ve lo garantisco.

Siamo arrivati alla fine di questa puntata di Pillole di bit, vi ricordo che tutti i link relativi alle cose dette sono nelle note, che trovate sulla vostre app o sul sito.
Io sono Francesco, produttore e voce di questo podcast e vi do appuntamento a lunedì prossimo, per la prossima puntata, disponibile su Feed RSS, o su tutte le piattaforme di podcast, vi registrate e la puntata vi arriva automagicamente.
E se a fine mese il grafico a torta delle donazioni nella barra laterale del sito si riempie, arriva anche la puntata extra di Pillole di Bit Stories.
Ad agosto il grafico a torta non si è riempito, vediamo cosa succede a Settembre per la puntata di novembre

Grazie per avermi ascoltato!

Ciao!