#345 – Reinventare Whatsapp

Volevo mettere come titolo reinventare la ruota, ma poi, cercandolo, non sarei mai riuscito a trovare il vero contenuto di questa puntata, ho messo il nome commerciale solo per un riferimento comodo da trovare tra qualche mese.
Abbiamo un problema, qualsiasi.
Esistono al mondo sicuramente mille soluzioni già create, testate, provate, evolute e perfettamente funzionali, per quanto possa essere perfettamente funzionale un sistema complesso in questi anni.
Ma no, noi per risolvere il nostro problema partiamo da un foglio bianco e progettiamo una soluzione completamente nuova, da zero.
Ve lo assicuro, qualunque sia il problema e qualunque sia la soluzione, non è una buona idea.
Se poi viene fatta dallo Stato Italiano, ci sarà da ridere, per non piangere.
Un po’ come ITsART, per chi se la ricorda.

Prima di iniziare, due cose.
Se sentite che la mia voce è diversa dal solito, avete ragione, non è un problema di registrazione, ma non sto proprio bene bene, abbiate pazienza.
La seconda, ah, ce ne sarà una terza, mi raccomando, se donate da 5€ in su su qualsiasi piattaforma e non compilate il form, per me vuol dire che non volete i gadget, per questo motivo non li spedisco.
La terza, se volete la spilla e ne avete diritto, dovete compilare anche qui il form con i dati, se no non posso spedirla, mi raccomando. Le ho fatte fare, non fatemele tenere qui nel cassetto.
Ehi, c’è una quarta cosa sul Value for Value: il wallet che sto usando, nato specificamente per i podcast, ha deciso che da gennaio diventerà a pagamento e costa un sacco, sto cercando alternative, potrebbe succedere che per qualche tempo debba bloccare la ricezione dei satoshi, scusate.
Fine delle due cose che sono diventate quattro.

Il nostro problema è che le chat tra gli esponenti politici, pare basate su Whatsapp, al momento, escono e vengono pubblicate sui giornali. Fanno dimettere un ministro, fanno fare brutta figura alla Presidente del Consiglio e altre cose poco piacevoli.
Facciamo un passo indietro e partiamo dalle basi, che come sapete, a me piace parlare in modo che anche i non tecnici possano capire.
In un modo banale, tipo quando c’erano i primi server di chat IRC, una delle prime piattaforme per comunicare mandando messaggi, Luca voleva scrivere a Maria, si registravano sul server, ognuno di loro aveva un software, chiamato client, che si collegava al server, in modo molto semplice.
Luca scriveva qualcosa a Maria, il testo passava dal suo client al server, in chiaro dalla sua connessione al server IRC, questo lo indirizzava a Maria, sempre in chiaro che tramite la sua connessione e con un client collegato allo stesso server, lo poteva ricevere.
Molto semplice e molto vulnerabile.
Il messaggio poteva essere letto da chiunque potesse vedere il traffico Internet di Luca, di Maria e chiunque avesse la gestione del server IRC, nessun tipo di riservatezza.
Per i puristi della crittografia, semplifico molto, vi avviso.
Poi la tecnologia ha fatto passi in avanti e la comunicazione tra i client installati sui computer e il server è diventata crittografata, usando quello che tutti conoscete come https.
Senza entrare troppo nel dettaglio, il traffico che passa su Internet tra il client e il server non è più visibile a nessuno. Viene crittografato sul computer di partenza e decodificato sul server di arrivo.
Se qualcuno vuole leggere il messaggio deve avere accesso al computer di Luca, al computer di Maria o al server che accentra tutte le comunicazioni, dove passano tutti i messaggi, in chiaro.
È abbastanza semplice intuire che, se parliamo di sicurezza, il fatto che il gestore del server che accentra tutto possa avere accesso a tutti i messaggi è un problema.
Se usate Telegram, è ancora così, a meno che non usiate la chat riservata.
Facciamo ancora un passo in avanti.
Il gestore dei messaggi non solo non è interessato a vedere tutti i messaggi che passano sul server, ma non vuole proprio essere coinvolto.
A questo punto mette su un sistema a chiave pubblica e privata.
La cosa è molto complessa, ma fa i salti mortali per renderla semplice.
Quando due persone vogliono parlare, prima dei messaggi, i due client, adesso le chiamiamo app, si scambiano le chiavi di crittografia.
Ogni messaggio che Luca invierà a Maria, potrà solo essere decodificato sul telefono di Maria e ogni messaggio che Maria invierà a Luca potrà essere decodificato solo sul telefono di Luca.
Tutto il viaggio tra le due app, qualunque esso sia, in ogni parte, è codificato e nessuno lo può leggere.
Neanche il gestore del server che fornisce il servizio.
Il gestore del server ha accesso in chiaro ai metadati, chi ha scritto a chi, quando, dove si trovavano, ad esempio. Ma non ha il contenuto dei messaggi, dei vocali, apro una parentesi, maledetto chi ha inventato i messaggi vocali, chiudo la parentesi, degli allegati.
Al momento tra i sistemi di messaggistica più usati, Whatsapp funziona in questo modo, Signal pure.
Telegram, come già detto, no.
A questo punto manca un pezzo.
Dove restano visibili i messaggi, per forza di cose?
Sul telefono di chi scrive e di chi legge.
Se io tengo male il telefono, posso avere il sistema di chat più sicuro del mondo, ma una persona terza può leggere le mie chat, accedendo al mio telefono.
Per esempio, pare che le chat rubate che hanno poi portato alle dimissioni del ministro fossero state prese da una sessione di Whatsapp lasciata attiva e non custodita su un PC sbloccato.
Puoi fare l’app di messaggistica più sicura del mondo, ma poi, se la gente usa male il telefono e il PC, si invalida tutta la sicurezza.
Ma torniamo un attimo a fare l’app di messaggistica più sicura del mondo.
Parto da un esempio che possiamo usare tutti: Signal.
È un’app sicura, validata da team di esperti, sviluppata da anni e mantenuta da un team di gente di un certo livello.
Il loro scopo non è quello di farci soldi su con profilazione e pubblicità, al contrario di Meta, proprietaria di Whatsapp.
Il loro scopo è rendere la messaggistica sicura, vi lascio un link con un loro documento che spiega quanto questo possa essere costoso.
Spoiler: spendono 50 milioni all’anno.
I server di Signal non registrano niente di quello che passa.
Il loro protocollo è open source, la sicurezza viene fatta dalle chiavi crittografate.
Ci lavorano dal 2013.
Il protocollo di sicurezza è talmente valido che è usato da molti altri sistemi di messaggistica per rendere sicuri i messaggi nel trasporto tra un dispositivo e l’altro, non da Telegram.
La ruota è già stata inventata e funziona bene.
I telefoni esistono da tempo.
Possono essere gestiti da remoto da un amministratore, possono essere imposte delle policy tecniche, come la lunghezza del PIN, il blocco non più lungo di pochi minuti, si possono diminuire le app che si possono installare sul telefono stesso, si può ridurre drasticamente la possibilità di navigare su Internet e si può fare in modo che si possa accedere solo a determinati siti.
Si può anche intervenire da remoto cancellando il telefono una volta che se n’è perso il possesso, anche centralmente.
Queste tecnologie sono già tutte disponibili sul mercato, si comprano, hanno un costo, un supporto e sono largamente personalizzabili.
Poi esistono le policy scritte, quelle che l’azienda dà al dipendente e alle quali il dipendente si deve attenere, come ad esempio “il bene aziendale non deve essere ceduto a terzi” o “il PIN non va comunicato a nessuno”, insomma le regole di base per usare un dispositivo aziendale con dentro dati riservati.
Io immagino e spero che i dispositivi dati in mano a politici o dirigenti di azienda siano controllati in questo modo.
Poi penso che siamo dove siamo, loro sono quelli potenti e vogliono il telefono all’ultimo grido, vogliono installarci tutte le app che vogliono, che il PIN è scomodo e che se il figlio, l’amico, la fidanzata glielo chiedono, che problema c’è, eccolo sbloccato.
Non sto inventando, ho lavorato in molte aziende italiane, come dipendente e come consulente e sono tutte drammaticamente uguali.
Abbiamo già due ruote che funzionano molto bene.
Il sistema di messaggistica e il telefono che può essere limitato e gestito.
Piccola nota, ho parlato di Signal, ma di sistemi di messaggistica sicura e ben fatti ce ne sono decine, sia accentrati che decentrati.
Abbiamo invece le teste che non possono essere cambiate.
Reinventare un telefono credo sia impossibile, Huawei ci è riuscita, dopo il ban degli USA, ha fatto telefoni da zero e un nuovo sistema operativo in 3 anni, ma è una mega azienda cinese.
Allora hanno pensato bene di reinventare l’app per i messaggi, ne vogliono fare una sicurissima, sviluppata apposta per i politici italiani, a prova di bomba.
Ok, le app sicurissime ci sono già, come già detto, basta adottarle.
Pensate, Signal gestisce 100.000 richieste al minuto, in media, ci sono servizi italiani che vanno in crash oltre le 3000.
Sviluppare un prodotto da zero vuol dire molte cose.
Innanzitutto ci va molto tempo.
Poi ci vanno soldi, molti soldi e, da quello che si legge in giro, non è che ne abbiamo proprio tanti a disposizione tra spese correnti, spese in canili all’estero e altre baggianate.
E poi, se avete mai sviluppato qualcosa, un nuovo software si porta dietro inevitabilmente un sacco di bug, di problemi di sicurezza, di vulnerabilità, che verranno man mano scoperti, spesso al prezzo di attacchi riusciti e furti di dati. Un nuovo software lanciato così nel selvaggio mondo di Internet viene attaccato subito e cade, senza ombra di dubbio.
Poi noi siamo bravi a fare magre figure con le brutte copie di cose che sono già sul mercato da molti anni.
Resta una cosa importante.
Immaginiamo di fare il sistema di messaggistica più bello e sicuro del mondo, inattaccabile, inespugnabile, che ci invidia tutto il mondo.
Poi il ministro dà il telefono sbloccato all’amante o chi partecipa alle chat di gruppo fa screenshot e li manda ai giornali.
No, è un investimento assolutamente inutile, perché la testa della gente non la si cambia e per quella non c’è investimento, programmatore o server del cloud nazionale che tenga.

Pillole di Bit è un podcast gratuito da sempre e disponibile per tutti, ma realizzare un podcast ha dei costi in servizi, hardware e software.
Ma non solo, ha anche bisogno di un ritorno in soddisfazione per chi lo produce, settimana dopo settimana, da quasi 10 anni.
Per coprire costi e soddisfazione voi ascoltatori potete contribuire in modo pratico, mettendo mano al portafogli, con una donazione, che sia ogni tanto o un abbonamento mensile, dell’importo che volete, basato su quanto potete permettervi e quanto vale per voi la produzione e i contenuti delle puntate.
Ogni volta che vedo una notifica, sono contento, vuol dire che il mio lavoro ha generato un valore reale.
Potete farlo in modi diversi, tramite Satispay, Paypal, SumUp o con il Value for Value, con le applicazioni che lo gestiscono, se volete più informazioni sul value 4 value potete fare riferimento alla puntata 297.
I più sinceri ringraziamenti vanno a chi ha voluto donare qualcosa in questa settimana, nel dettaglio
Gli abbonati
Ivan
Carlo
Valerio
La donazione spot
Alessandro

E chi usa il value for value
Paolo
Federico
Nicola Gabriele
Oltre a donare direttamente, potete anche usare i link sponsorizzati di Amazon che a fronte di un vostro ordine, a me riconoscono una piccola percentuale, senza aumentare il vostro costo nel carrello, li trovate nel gruppo telegram o nelle note della puntata.

Come vi dico da tempo, sono un affezionato cliente del miglior provider Internet che abbia mai provato nella mia lunga carriera tecnologica: Ehiweb. Sul sito del podcast trovate il loro logo, tramite quel link accedete al loro sito e se attivate un servizio a me viene riconosciuta una parte, un po’ come Amazon. Tutte le persone, ma davvero tutte, che si sono rivolte loro mi hanno poi scritto che sono fantastici e io non posso che confermare.
Oggi un consiglio, vale per Ehiweb, ma vale per tutti.
Quando sul sito per la FTTC leggete una velocità teorica, questa è calcolata in base alla distanza di casa vostra dalla cabina dove arriva la fibra vera. Se la fibra non patisce la distanza, il rame sì, più ci si allontana, più la velocità cala.
Il problema del rame è anche dato da altri fattori fisici, dei quali i gestori non sanno niente, lo si scopre quando arriva il tecnico a casa e vi dice “qui andrai al massimo a 20-40-80 Mega al secondo”.
In questa occasione voi siete liberi di dire al tecnico “no, questa velocità non mi soddisfa, non attivare la linea”.
Con Ehiweb l’installazione va KO e il contratto non si attiva, con nessuna spesa dovuta da parte vostra.
Tenetelo a mente.

Il podcast cresce anche con il passaparola, diffondete l’ascolto dei podcast con amici, colleghi e parenti, ce ne sono molti da ascoltare, di ogni genere e ognuno può farsi la propria stazione radio personalizzata, anche con Pillole di Bit al suo interno, i nuovi ascoltatori sono sempre una cosa bella.

Il primo maggio 1994 era una domenica, avevo 16 anni ed ero ad un’uscita con gli scout. Sono tornato la sera alla stazione di Torino Porta Nuova, sono salito in auto del babbo e gli ho chiesto: che ha fatto Senna?
All’epoca non c’erano i cellulari, niente Internet e la F1 la trasmettevano in chiaro su Rai Due.
La sua risposta è stata lapidaria “Senna è morto”.
Il giorno prima era già morto Ratzenberger.
Voi vi ricordate alla perfezione cosa stavate facendo quando sono venute giù le due torri, io come ho saputo di Senna, in quell’infausto fine settimana.
Tutto questo per dirvi che, se siete un po’ appassionati di Formula 1, dovreste vedere la mini serie Senna su Netflix, è fatta molto bene, fa rivivere la F1 di quei tempi e racconta chi era Senna, con un po’ di retroscena, non solo sportivi.
È piena di spezzoni di video dell’epoca, di personaggi che ricordiamo tutti benissimo e di un sacco di nostalgia.
Veramente consigliata.

Era molto che non si parlava dell’immane idiozia che vola sulle nostre teste come un vaso pronto a cadere e a farci male o a ammazzarci.
Chi è stato colpito a questo giro?
Il mai troppo insultato Piracy Shield il 9 dicembre sera ha bloccato l’IP di una CDN usata dal noto sito DDAY.it, che tra l’altro si spende sempre molto contro la piorateria e contro il piracy shield stesso, rendendolo parzialmente inaccessibile per circa 4 ore.
Poi, come al solito, il ticket è scomparso, l’IP è stato ripristinato, nessuno sarà responsabile e nessuno pagherà. Tipica modalità di questo sistema ignobile.
Se però io parcheggio l’auto sui binari del tram con un cartello “voi fate pirateria del calcio”, me la rimuovono, pago la multa e mi denunciano per interruzione di pubblico servizio, chiedendomi anche i danni.
Il Piracy Shield fa la stessa cosa, blocca indirizzi IP dicendo “è un pirata!” anche quando non è vero, poi lo sblocca a fronte delle rimostranze, facendo finta che non sia successo niente.

Siamo arrivati alla fine di questa puntata di Pillole di bit, vi ricordo che tutti i link relativi alle cose dette sono nelle note, che trovate sulla vostre app o sul sito.
Io sono Francesco, produttore e voce di questo podcast e vi do appuntamento a gennaio 2025, per la prossima puntata, disponibile su Feed RSS, o su tutte le piattaforme di podcast, vi registrate e la puntata vi arriva automagicamente.
Mi prendo una pausa, come ogni anno, voi festeggiate il Natale, io spengo il cervello.
Ricordatevi che se a fine mese il grafico a torta delle donazioni nella barra laterale del sito si riempie, arriva anche la puntata extra di Pillole di Bit Stories, se si riempie è grazie alle donazioni, se la puntata esce, è merito vostro!
Per cercare di raggiungere il 100% pilloledib.it/sostienimi o i pulsanti colorati nella barra laterale del sito

Grazie per avermi ascoltato!

Buone feste, divertitevi, riposatevi, cercate di stare con le persone con cui state bene e state lontani dalle persone che non vi fanno stare bene, mangiate cose buone e non fatevi prendere dall’ansia e dallo stress dei regali, per quanto possibile, io ci sono riuscito, ho detto a tutti che non voglio regali e non ne farò nessuno, non potete capire il sollievo.

Ci ascoltiamo con l’anno nuovo con alcune piccole novità.

Ciao!