crittografia – Pagina 3 – Attivissimo.me

Come si fa a leggere i messaggi cifrati di WhatsApp e Telegram? Non è difficile

2018-06-08
di Paolo Attivissimo
crittografia, privacy, ReteTreRSI, Telegram, Whatsapp

Molti utenti pensano che la promessa della crittografia end-to-end fatta da WhatsApp e da molte altre app di messaggistica sia una garanzia assoluta di riservatezza dei messaggi. Ma non è affatto così, e questa percezione illusoria ha colto in fallo nientemeno che Paul Manafort, l’ex coordinatore della campagna elettorale di Donald Trump, che ora è accusato di aver tentato di convincere dei testimoni a mentire a suo beneficio in tribunale.

Secondo i documenti legali depositati dagli inquirenti, Manafort ha usato WhatsApp e Telegram per mandare messaggi cifrati a questi testimoni, ma gli inquirenti sono riusciti lo stesso a leggerli. Questo vuol dire che c’è una falla o una backdoor in WhatsApp, che permette di intercettare e leggere i messaggi protetti dalla crittografia? No.

Come capita spesso, di fronte alle soluzioni tecnologiche si dimentica il lato umano: qualunque messaggio, per quanto sia cifrato da qualunque app, è rivelabile in una maniera estremamente semplice. Basta chiederlo alla persona che l’ha ricevuto.

La crittografia end-to-end, infatti, protegge solo i messaggi in transito da un dispositivo a un altro: rende difficili le intercettazioni durante questo transito e impedisce che il fornitore del servizio di messaggistica possa leggerli, ma non può più fare nulla una volta che il messaggio è arrivato a destinazione. Quindi se le autorità riescono a mettere le mani sul vostro smartphone o semplicemente vi chiedono di mostrare loro i messaggi in questione, la conversazione non è più segreta. Lo stesso vale, naturalmente, se il destinatario decide spontaneamente di condividere con altri il contenuto di un messaggio cifrato.

Nel caso di Manafort, questa semplice tecnica è spiegata da una nota a pié pagina:

Persons D1 and D2 both preserved the messages they received from Manafort and Person A, which were sent on encrypted applications, and have provided them to the government.

È vero, come mi segnala Telegram Wiki, che “Telegram offre la possibilità di aprire chat segrete con timer di autodistruzione dei messaggi, e che in qualunque momento l’utente può eliminare i propri messaggi da una chat segreta, facendoli sparire immediatamente anche al partner”, ma questo non impedisce a chi li riceve di memorizzarli o fotografarli e riferirli a terzi.

Fonte: Graham Cluley.

Aggiornate Telegram per Windows: ha una falla

2018-02-20
di Paolo Attivissimo
aggiornamenti software, crittografia, cryptojacking, falle di sicurezza, privacy, ReteTreRSI, Telegram

Fonte: Kaspersky Lab.

Ultimo aggiornamento: 2018/02/16 17:45.

Un altro esempio (dopo Skype) dell’importanza di aggiornare il software arriva da Telegram. I ricercatori di Kaspersky hanno scoperto che la versione Windows di questa popolare app di messaggistica aveva una falla che permetteva agli aggressori informatici di prendere il controllo dei PC e installare malware e programmi per la generazione di criptovalute.

Gli attacchi sono in corso almeno da marzo 2017 e derivano da un difetto nella gestione delle lingue che si scrivono da destra a sinistra. Il difetto era sfruttabile, e veniva attivamente sfruttato, inviando alla vittima semplicemente un allegato che sembrava essere un’immagine ma era in realtà un JavaScript ostile che veniva eseguito sui PC privi di difese.

Per esempio, il nome vero dell’allegato poteva essere photo_high_regnp.js, quindi un JavaScript, ma veniva presentato all’utente bersaglio come photo_high_resj.png (in modo da sembrare un’immagine PNG) perché dopo photo_high_re c’era il carattere Unicode U+202E che inverte l’ordine dei caratteri che lo seguono, per cui gnp.js viene visualizzato come sj.png. Ingegnoso.

La falla è risolta nella versione più recente di Telegram, per cui il modo migliore per risolverla è aggiornarsi.

A parte questo scivolone, è importante ricordare che Telegram non cifra i messaggi in modo client-client (molto difficile da intercettare) se non glielo chiedete appositamente usando una chat segreta (secret chat) e usa un protocollo di sicurezza ritenuto insicuro dagli esperti. Per carità, per l’utente comune usare Telegram consente una maggiore privacy rispetto a WhatsApp (che cifra tutto end-to-end ma prende i metadati dell’utente e li condivide con Facebook). Se avete esigenze davvero serie, provate Signal.

App spione in Google Play rubavano conversazioni di WhatsApp e altri dati

WhatsApp è apprezzato dagli utenti perché offre garanzie di riservatezza che molte app concorrenti non offrono: in particolare, offre la cosiddetta crittografia end-to-end, che significa che i messaggi scambiati con WhatsApp non possono essere letti da Facebook (la società proprietaria di WhatsApp) o da qualcuno che li dovesse intercettare in transito.

Ma questo non vuol dire che i messaggi di WhatsApp siano perfettamente segreti, ed è meglio tenerlo presente per decidere cosa scrivere e cosa invece dirsi a voce in privato. Esistono infatti vari modi per intercettare questi messaggi, per esempio infettando con un’app ostile uno dei telefonini che partecipano a una conversazione digitale.

Google ha appunto segnalato da poco una serie di app per dispositivi Android che contenevano una sorta di virus, denominato Tizi, che catturava le comunicazioni e le chiamate vocali fatte dalla vittima con Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn e Telegram, rubava le password Wi-Fi, i contatti, le foto e la localizzazione del dispositivo, registrava l’audio ambientale e scattava foto in modo invisibile. Un ficcanaso di prima categoria, insomma.

Cosa peggiore, queste app infette non erano presenti in siti discutibili, ma erano ospitate da Google Play, il negozio ufficiale delle app Android. La buona notizia è che l’infezione è stata eliminata e queste app infette sono state rimosse. Ma il rischio rimane, per cui è meglio fare un po’ di sana prevenzione.

Il primo passo di questa prevenzione va fatto durante l’installazione di una nuova app: controllate quali permessi chiede e siate scettici di app che ne chiedono troppi. Una app-torcia che vi chiedesse la localizzazione o l’accesso agli SMS, per esempio, sarebbe molto sospetta.

Il secondo passo è controllare di aver attivato Play Protect, che è il sistema di Google per controllare le app già scaricate e per avvisare se si scarica un’app infetta. Nell’app Play Store sul vostro dispositivo, toccate il menu con le tre barrette in alto a sinistra e poi scegliete Play Protect. Se non avete questa voce, vi conviene aggiornare il telefonino o le sue app. Poi controllate che sia attiva, in Play Protect, la voce “Cerca minacce alla sicurezza”. Se non è attiva, attivatela: è stato proprio Play Protect a salvare gli utenti colpiti da queste app infette, disabilitandole sui loro telefonini in modo automatico.

Google consiglia infine di tenere sempre aggiornato il proprio dispositivo: infezioni come quella di Tizi, infatti, hanno effetto soltanto su chi ha vecchie versioni di Android.

In altre parole: come dicono spesso i guru del digitale, la sicurezza informatica non è un prodotto, è un processo. Se usate un’app piuttosto sicura come WhatsApp ma su un telefonino infetto, la sicurezza offerta da WhatsApp viene scavalcata. Conviene prendere in considerazione lo stato non solo del proprio telefonino, ma anche di quelli delle persone con le quali si scambiano messaggi. Altrimenti è come scambiare confidenze con un amico decisamente troppo pettegolo.

Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 5 dicembre 2017.

Giornata difficile? Mai come quella di chi ha rivelato per errore l’esistenza di un supercomputer NSA

Se pensate che la vostra vita informatica sia una valle di lacrime costellata di errori imbarazzanti, consolatevi. Qualunque scivolone abbiate fatto ultimamente, è difficile che sia grosso come quello di chi ha rivelato per sbaglio l’esistenza di un supercomputer segreto che si sospetta venga usato dall’NSA.

E non si è limitato a rivelarla: ne ha messi online, accessibili a chiunque, anche i dettagli tecnici e i manuali, sparsi su centinaia di pagine di documenti liberamente scaricabili senza digitare password o scavalcare firewall o altro.

La scoperta è stata fatta a dicembre scorso da un informatico che ha comprensibilmente chiesto di restare anonimo e ha raccontato tutto a The Intercept. L’informatico si è accorto, facendo una normale ricerca, che all’Institute for Mathematics and Advanced Supercomputing della New York University c’era un disco di backup connesso a Internet. Questo disco era pieno di documenti dedicati al sistema di supercalcolo finora segreto, denominato WindsorGreen, che secondo gli esperti sarebbe usato dall’NSA per analizzare i sistemi crittografici e trovarne le vulnerabilità oppure per fare decifrazione per forza bruta (tentando centinaia di miliardi di password).

Trovare questi dati era incredibilmente facile usando il motore di ricerca Shodan (e, mi raccomando, non cercate in Google frasi come “DISTRIBUTION LIMITED TO U.S. GOVERNMENT AGENCIES ONLY”, “REQUESTS FOR THIS DOCUMENT MUST BE REFERRED TO AND APPROVED BY THE DOD” oppure “IBM Confidential”). Il disco è stato rimosso da Internet dopo che l’informatico ha avvisato l’università: cosa che gli è stato particolarmente facile fare, perché su quel disco c’era anche la corrispondenza privata dei responsabili dell’istituto con i loro committenti militari.

Quanto è potente questo supercomputer finora segreto? Secondo gli esperti consultati da The Intercept, è largamente superiore a qualunque dei supercomputer suoi contemporanei, perlomeno in campo crittografico. E i documenti risalgono al 2012, per cui chissà cos’altro è già stato realizzato per arrivare a potenze di decrittazione ancora più vertiginose.

Panico: i dati di navigazione degli utenti saranno messi in vendita. Sì, ma solo in USA

2017-03-31
di Paolo Attivissimo
crittografia, privacy, ReteTreRSI, Tor, VPN

C’è molto panico in Rete per l’annuncio che il Congresso statunitense ha deciso di smantellare le norme sulla riservatezza della navigazione online degli utenti: in sintesi, si dice, i fornitori di accesso a Internet (i provider) d’ora in poi saranno liberi di vendere ai pubblicitari la cronologia dei siti visitati dai propri abbonati, senza dover chiedere permessi a nessuno (men che meno agli abbonati stessi). È partita una corsa generale per procurarsi contromisure informatiche per tutelarsi da questa nuova profilazione potenzialmente imbarazzante e si parla molto di VPN e di Tor. Vale la pena di fare un po’ di chiarezza.

Prima di tutto, niente panico! Il provvedimento riguarda soltanto gli Stati Uniti e comunque le norme statunitensi ora smantellate in realtà non erano ancora entrate in vigore, per cui i provider americani erano già liberi di vedere quali siti vengono visitati da un utente e condividere la sua cronologia con i pubblicitari.

In secondo luogo, non è detto che usare una VPN migliori le cose. Una VPN (Virtual Private Network) è un’applicazione che fa passare tutto il vostro traffico Internet attraverso i computer di un’azienda fornitrice. La vostra navigazione sembra quindi provenire da quell’azienda e il vostro provider non può sapere che siti visitate, perché il collegamento dal vostro dispositivo all’azienda che offre la VPN è cifrato. Ma questo significa che tutta la vostra navigazione passa attraverso il fornitore della VPN, che a sua volta potrebbe venderla o leggerla per esempio per ricattarvi se visitate siti discutibili. Usare una VPN gratuita o fornita da sconosciuti, insomma, rischia di ridurre la vostra privacy di navigazione.

Se decidete di adottare una VPN per qualunque ragione, scegliete quindi fornitori di buona reputazione che non archiviano la cronologia di navigazione, come per esempio Freedome, TunnelBear o PIA. Potreste anche usare il browser Opera, che ha un’opzione per navigare con una VPN inclusa.

Tor, invece, è un browser che maschera piuttosto efficacemente l’origine delle vostre navigazioni, e ci sono anche prodotti come Invizbox che fanno passare automaticamente tutto il vostro traffico, su tutti i vostri dispositivi, attraverso Tor oppure una VPN, ma il servizio è spesso lento in maniera esasperante.

In realtà la nostra cronologia di navigazione è già piuttosto protetta per il semplice fatto che moltissimi siti oggi usano automaticamente il protocollo cifrato HTTPS al posto di HTTP: in parole povere, se usate HTTPS il vostro provider può sapere quale sito avete visitato, ma non può sapere quale pagina del sito avete consultato. Se fate una ricerca in Google con HTTPS, il vostro provider sa che avete consultato Google, ma non sa che cosa gli avete chiesto.

Fonti aggiuntive: Lifehacker, New York Times.

La “falla” di WhatsApp non è una falla: appello degli informatici per fare chiarezza

2017-01-20
di Paolo Attivissimo
backdoor, crittografia, ReteTreRSI, Whatsapp

Pochi giorni fa il giornale britannico The Guardian ha pubblicato un articolo che segnala una “backdoor” in WhatsApp: una falla di sicurezza che, secondo il Guardian, “consentirebbe di intercettare i messaggi cifrati”.

La notizia ha causato una certa apprensione fra i tantissimi utenti di WhatsApp, soprattutto nei paesi nei quali manca la libertà di espressione e WhatsApp viene usato anche per discutere di argomenti vietati, ma gli esperti di sicurezza hanno smentito seccamente l’articolo del Guardian e hanno firmato in massa una lettera aperta, scritta dalla ricercatrice in informatica e sociologia Zeynep Tufekci della University of North Carolina. Anche Whisper Systems, che è responsabile della protezione crittografica usata in WhatsApp e in Signal, è intervenuta per dire che “non c’è nessuna backdoor in WhatsApp”.

La lettera aperta nota che la notizia del Guardian è stata ripresa dai media turchi governativi e dissidenti e anche l’ente governativo turco che prende tutte le decisioni di sorveglianza e censura si è affrettato a dichiarare che WhatsApp è insicuro. Queste preoccupazioni hanno indotto molti a passare agli SMS e a Facebook Messenger, che sono forme di comunicazione decisamente insicure.

Quella che il Guardian ha definito “backdoor” è in realtà una situazione particolare che un aggressore troverebbe estremamente difficile da sfruttare: la gestione di nuove chiavi crittografiche. Quando un utente cambia dispositivo o SIM e quindi cambia queste chiavi, WhatsApp gli consegna comunque i messaggi in sospeso e poi avvisa il mittente che il destinatario ha cambiato dispositivo (Signal fa il contrario: blocca l’invio fino a che il mittente accetta il cambio di chiavi).

In sintesi, questa presunta falla richiede “un avversario capace di fare molte cose difficili” che avrebbe “molti altri modi di raggiungere il proprio bersaglio” e comunque riguarderebbe “solo quei pochi messaggi non consegnati, se ne esistono, fra il momento in cui il destinatario cambia telefono e il mittente riceve un avviso”.

Molto rumore per nulla, insomma: se usate WhatsApp, continuate pure a usarlo.

Allarme WhatsApp, messaggi intercettabili? Un momento

2017-01-14
di Paolo Attivissimo
crittografia, Facebook, privacy, Whatsapp

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi (Paypal/ricarica Vodafone/wishlist Amazon) per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/01/14 18:20.

Stanno comparendo molti articoli, soprattutto sui giornali generalisti, che parlano di una falla di sicurezza, addirittura di una backdoor, in WhatsApp che permetterebbe di intercettarne i messaggi. L’origine sembra essere questo articolo del Guardian.

Premetto subito che se vi state affidando a WhatsApp per tutelare la vostra privacy avete preso un grosso granchio (come i fratelli Occhionero dello scandalo EyePyramid di pochi giorni fa, i cui messaggi WhatsApp compromettenti sono stati intercettati). WhatsApp è di proprietà di Facebook, una società il cui core business è farsi i fatti vostri e venderli, e quindi ha poco incentivo a tutelare la riservatezza di qualcuno. Tant’è vero che WhatsApp condivide dati con Facebook da agosto 2016 e non c’è modo di impedirglielo. Se avete cose veramente delicate da comunicare tramite dispositivi digitali, lasciare perdere WhatsApp e procuratevi qualcosa di indipendente e robusto (per esempio Signal, Wickr e simili).

Mi manca il tempo di scrivere un articolo approfondito, ma in estrema sintesi l’allarme è stato un po’ gonfiato, secondo Ars Technica.

Prima di tutto, non si tratta di una backdoor. Il problema di sicurezza di WhatsApp non consente un monitoraggio continuo di un account a insaputa del proprietario e non è quindi una “porta sul retro” nel senso informatico convenzionale del termine.

Il rischio è limitato. Il problema riguarda il comportamento di WhatsApp quando un utente cambia chiave crittografica: normalmente WhatsApp non avvisa l’utente di questo cambio, che avviene per esempio quando si cambia telefonino e teoricamente sarebbe sfruttabile solo da un aggressore che avesse risorse molto sofisticate (accesso a un server WhatsApp o al protocollo SS7 della rete cellulare, per esempio) e anche così consentirebbe di intercettare un solo messaggio per volta. Esistono tecniche più pratiche.

Niente panico, insomma. Ma se volete attivare la notifica di WhatsApp in caso di cambio di chiave per maggiore scrupolo e per sapere quando avviene un cambio, andate nelle sue impostazioni di sicurezza e fatelo.

Alternative a WhatsApp: Signal, ora anche su computer

2016-09-30
di Paolo Attivissimo
Android, crittografia, iOS, messaggistica, privacy, ReteTreRSI, Signal, Whatsapp

Signal (Signal.org) è considerata una delle app di messaggistica più attente alla sicurezza e alla riservatezza: da tempo è disponibile per Android e iOS, ma ora è possibile usarla anche su computer (Mac, Windows, Linux). Da pochi giorni la versione su computer funziona anche in abbinamento agli smartphone iOS (prima era limitata agli Android).

Installare Signal su computer è semplice: basta avere Google Chrome a andare a Signal.org/desktop per scaricare l’estensione Desktop di Signal per Chrome. Ovviamente bisogna tenere aperto Chrome.

Anche l’impostazione è banale: è sufficiente inquadrare un codice QR con la fotocamera del telefonino. I contatti vengono importati sul computer automaticamente.

In quanto a privacy e sicurezza, Signal usa lo stesso protocollo di crittografia end-to-end di WhatsApp ma a differenza di WhatsApp non condivide i dati degli utenti con Facebook, è open source (il codice delle sue app è liberamente ispezionabile), è consigliato da tutti i principali esperti di sicurezza informatica ed è gestito senza scopo di lucro da un gruppo di informatici che ha a cuore la protezione dei dati personali. Fra l’altro, Signal è gratuito e disponibile in italiano.

Meglio Telegram, Signal o WhatsApp?

2016-06-29
di Paolo Attivissimo
crittografia, metadati, privacy, ReteTreRSI, Viber, Whatsapp

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/06/26 18:30.

L’illusione della sicurezza è uno dei maggiori pericoli per la sicurezza (non solo in informatica). La recente introduzione della crittografia in app molto popolari come WhatsApp e Viber è stata interpretata da molti come una protezione assoluta, ma non lo è: conviene conoscerne i limiti in modo da capire con precisione cosa comportano.

The Intercept ha pubblicato un ottimo articolo che fa il punto della situazione sulle principali app di messaggistica che offrono cifratura, e anche Gizmodo ha messo online una serie di mini-recensioni. Riassumo entrambi e faccio un’allerta spoiler: si salva solo Signal.

WhatsApp. Facebook, proprietaria di WhatsApp, non può leggere i contenuti dei messaggi e delle altre comunicazioni che transitano dall’app, ma sa chi ha comunicato con chi e quando lo ha fatto e si riserva il diritto di registrare queste informazioni (i cosiddetti metadati), insieme alle rubriche telefoniche degli utenti, e di passarle ai governi e quindi agli inquirenti. In altre parole, se avete mai Whatsappato con qualcuno che finisce nei guai con la giustizia, non potete far finta di non conoscerlo contando sulla segretezza delle comunicazioni di WhatsApp. Inoltre una copia dei messaggi viene conservata sul telefonino del mittente e dei destinatari, e chi ha attivato il backup dei dati del telefonino su cloud ha depositato su Google o su iCloud un’altra copia delle comunicazioni fatte con WhatsApp. L’app consente di disattivare quest’opzione, ma spetta all’utente sapere che esiste e intervenire per disattivarla.

Signal. È open source (quindi liberamente ispezionabile nel funzionamento), disponibile per iOS e Android, privo di legami commerciali (è sostenuto dalle donazioni degli utenti e non ha pubblicità), offre cifratura completa (end-to-end), non raccoglie metadati (a parte l’orario dell’ultima connessione dell’utente al server, che comunque viene arrotondato al giorno). La rubrica dei contatti viene letta da Signal, ma viene cifrata prima di mandarla ai server di Signal in modo che i dati della rubrica non siano collezionabili (viene usata una funzione di hashing). Le conversazioni non vengono archiviate su cloud Google/Apple. Unico limite: lo usano pochissimi utenti (qualche milione contro i 900 e passa di WhatsApp), per cui o convincete il vostro interlocutore a installarlo, oppure potrete solo mandargli SMS non protetti (l’app indica chiaramente quale tipo di messaggio verrà inviato).

Telegram. Quest’app viene spesso citata come se fosse sicura, ma i fatti sono un po’ diversi. Per impostazione predefinita, i messaggi vengono conservati sui server di Telegram in forma non cifrata. Se usate la modalità privata potete attivare la cifratura, che però è considerata debole e difettosa.

Allo/Duo. The Intercept segnala che Google sta per lanciare un’app di messaggistica, chiamata Allo, e sottolinea che la sua impostazione predefinita sarà che Google può leggere tutto. La crittografia si attiva soltanto se scegliete la modalità privata, che però limita alcune funzioni. Google motiva questa scelta con il fatto che Allo userà il testo dei messaggi per fornire all’utente servizi basati sul contesto. Sempre da Google è in arrivo Duo, app di videochiamata, che sarà cifrata automaticamente e da un capo all’altro della conversazione (end-to-end): non si sa se raccoglierà metadati.

WhatsApp cifrato, come aumentare la sicurezza e l’autenticazione

2016-05-07
di Paolo Attivissimo
autenticazione, crittografia, ReteTreRSI, Whatsapp

WhatsApp ha attivato pochi giorni fa la crittografia end-to-end, rendendo molto più difficile intercettare le comunicazioni durante il tragitto fra un telefonino e l’altro. È un’ottima novità per la sicurezza, ma ha creato un po’ di confusione fra gli utenti. Provo a fare chiarezza e rispondere pubblicamente alle tante domande che mi sono arrivate.

Prima di tutto, una volta tanto per attivare la protezione della crittografia non è necessario fare nulla, a parte scaricare la versione più recente dell’app. Non capita spesso che la sicurezza venga aumentata senza richiedere qualche fatica agli utenti.

Si può fare anche di più. Per esempio, due interlocutori che si conoscono di persona possono autenticarsi reciprocamente per essere sicuri delle rispettive identità quando si ritrovano online: è a questo che serve quel codice QR che compare toccando il nome dell’interlocutore in una chat e scegliendo Crittografia. Per usarlo, ci si incontra fisicamente e si mostra questo codice al telefonino dell’altra persona, sul quale gira WhatsApp impostato allo stesso modo ma con l’opzione Scannerizza codice, che appunto legge il codice QR.

Ma è necessario usare questo codice? No: la crittografia di base funziona comunque. Questa ulteriore garanzia serve per tutelarsi, per esempio, da un malintenzionato che ha rubato la SIM all’interlocutore e la usa per impersonarlo. Con questo scambio di codici si viene avvisati che forse si sta comunicando con un impostore. Ricordate di andare nelle Impostazioni e attivare la voce Mostra notifiche di sicurezza e di ripetere questa identificazione con tutti i vostri contatti, se possibile.

Questo vuol dire che le comunicazioni di WhatsApp ora sono impossibili da intercettare e quindi si può dire qualunque cosa impunemente? Assolutamente no. Sui telefonini dei partecipanti a una chat rimane comunque una copia delle conversazioni e un’altra è solitamente salvata su Google Drive (per gli smartphone Android) o su iCloud (per gli smartphone Apple), e comunque WhatsApp tiene traccia di chi ha comunicato con chi e quando lo ha fatto (i metadati).