Telegram anonimo: la verità sulla sicurezza delle comunicazioni virtuali
2016-10-18 19:39:07
In:
È possibile garantire l'assoluto anonimato delle comunicazioni al giorno d'oggi? Questo tema è diventato ancora più attuale dopo le rivelazioni di Snowden. È il concetto di sicurezza che Pavel Durov ha tenuto presente quando ha creato Telegram anonimo con suo fratello Nikolai. Secondo le dichiarazioni degli sviluppatori, il messenger è in grado di garantire la sicurezza sia dagli hacker comuni sia dalle azioni delle agenzie governative di intelligence. Ma si tratta di uno stato reale delle cose? Scopriamolo di seguito.
Parametri di base della sicurezza delle informazioni
L'applicazione si basa su uno sviluppo innovativo: si tratta del protocollo MTProto che prevede l'utilizzo di diversi protocolli di crittografia. Per la sicurezza dei dati vengono utilizzati i seguenti algoritmi:
DH-2048, RSA-2048 (per l'autorizzazione e l'autenticazione);
AES (per i messaggi inoltrati);
SHA-1, MD5 (algoritmi di hash crittografico).
Durante la trasmissione dei messaggi, la crittografia viene eseguita mediante l'algoritmo AES con una chiave nota al client e al server. Allo stesso tempo, la protezione dall'intercettazione dei messaggi da parte del server è garantita solo in una speciale modalità anonima di Telegram chiamata Chat segrete, in cui i partecipanti hanno una chiave comune nota solo a loro. A differenza della modalità standard, la crittografia End-to-End esclude la possibilità di decifrare i messaggi e la cronologia delle conversazioni viene memorizzata solo sui dispositivi degli utenti.
Organizzazione di concorsi per la ricerca di difetti
Da quando questo messenger anonimo è entrato sul mercato (agosto 2013), i suoi sviluppatori e Pavel Durov in particolare hanno iniziato a organizzare concorsi tra esperti di crittografia per svelare le falle di sicurezza.
Il primo progetto di questo tipo si è svolto alla fine del 2013. Il compito dei concorrenti consisteva nel decriptare la conversazione di Pavel Durov e suo fratello in una chat segreta utilizzando lo scambio di dati criptati tra il server e l'applicazione. Pochi giorni dopo l'inizio del concorso, uno dei partecipanti è riuscito a trovare una falla nel sistema. Il punto è che un utente ha ricevuto i parametri di una chiave dal server senza verificarli. Tale bug riduceva l'integrità crittografica e consentiva di eseguire un attacco MITM nascosto. Sebbene questa persona non sia riuscita a decriptare la conversazione tra Pavel e Nikolai, gli è stata pagata la metà di un compenso, in particolare 100 mila dollari.
Nonostante la socievolezza degli sviluppatori e l'impegno a rivelare le falle di sicurezza con sforzi congiunti, molti esperti sono scettici su questo tipo di concorsi. L'assenza di vincitori non è ancora una garanzia di sicurezza assoluta, poiché le condizioni sono stabilite da uno sviluppatore, ma l'analisi è spesso effettuata da persone a caso. Inoltre, 200 mila dollari sono una piccola somma di denaro per gli esperti di crittografia, quindi è improbabile che i migliori rappresentanti partecipino a questi concorsi.
Telegram anonimo permette di garantire la completa sicurezza delle comunicazioni?
L'argomento di base degli oppositori di questa applicazione consiste nel legare un utente al suo numero di telefono. La questione è se questo messenger può essere considerato anonimo se il server contiene dati telefonici che possono dire praticamente tutto su una persona, comprese le seguenti informazioni:
nome completo;
coordinate geografiche esatte;
contatti;
dati personali, ecc.
L'autenticazione avviene tramite un messaggio di testo in cui viene indicato un codice di verifica dell'accesso una tantum. L'assenza di una password è ancora più allarmante. In altre parole, è sufficiente che l'utente inserisca un codice dal messaggio per accedere. Il servizio è caratterizzato da molti algoritmi di crittografia complicati, ma non ha una password elementare. Pertanto, è possibile accedere all'account del cliente tramite l'intercettazione dei messaggi di testo (che non è una questione di estrema difficoltà per le agenzie di intelligence).
Sicuramente l'archiviazione delle informazioni sulle piattaforme server statunitensi protette fornisce agli utenti una certa garanzia. Tuttavia, il solo fatto che le informazioni personali di un cliente possano essere accessibili a terzi contraddice l'idea di anonimato assoluto. Inoltre, i recenti avvenimenti negli Stati Uniti (quando un account di posta elettronica di Hillary Clinton, una delle speranze presidenziali, è stato violato a causa di un attacco di hacking) sono indicativi della vulnerabilità dei moderni sistemi di sicurezza informatica.
Conclusione
Senza dubbio, Telegram dispone di complessi algoritmi di crittografia che consentono di raggiungere un elevato livello di sicurezza dei dati quando si comunica in modalità chat segreta. Allo stesso tempo, il vincolo del numero di telefono non permette di parlare di sicurezza assoluta e di confermare che le informazioni non saranno accessibili a terzi a seguito di un attacco di hacking.
In sintesi: vale la pena utilizzare questa applicazione? Si tratta di una variante perfetta per gli utenti che desiderano ottenere un servizio rapido e conveniente ai fini della comunicazione privata. Tuttavia, quando si tratta di persone con uno spirito paranoico che vogliono avere la certezza della sicurezza assoluta delle conversazioni e dei dati personali, Telegram non può garantirla. È un'altra questione che l'esistenza di qualsiasi altro messenger che fornisca tali garanzie rimane oggi dubbia.
Durante la trasmissione dei messaggi, la crittografia viene eseguita mediante l'algoritmo AES con una chiave nota al client e al server. Allo stesso tempo, la protezione dall'intercettazione dei messaggi da parte del server è garantita solo in una speciale modalità anonima di Telegram chiamata Chat segrete, in cui i partecipanti hanno una chiave comune nota solo a loro. A differenza della modalità standard, la crittografia End-to-End esclude la possibilità di decifrare i messaggi e la cronologia delle conversazioni viene memorizzata solo sui dispositivi degli utenti.
Nonostante la socievolezza degli sviluppatori e l'impegno a rivelare le falle di sicurezza con sforzi congiunti, molti esperti sono scettici su questo tipo di concorsi. L'assenza di vincitori non è ancora una garanzia di sicurezza assoluta, poiché le condizioni sono stabilite da uno sviluppatore, ma l'analisi è spesso effettuata da persone a caso. Inoltre, 200 mila dollari sono una piccola somma di denaro per gli esperti di crittografia, quindi è improbabile che i migliori rappresentanti partecipino a questi concorsi.
L'autenticazione avviene tramite un messaggio di testo in cui viene indicato un codice di verifica dell'accesso una tantum. L'assenza di una password è ancora più allarmante. In altre parole, è sufficiente che l'utente inserisca un codice dal messaggio per accedere. Il servizio è caratterizzato da molti algoritmi di crittografia complicati, ma non ha una password elementare. Pertanto, è possibile accedere all'account del cliente tramite l'intercettazione dei messaggi di testo (che non è una questione di estrema difficoltà per le agenzie di intelligence).
Sicuramente l'archiviazione delle informazioni sulle piattaforme server statunitensi protette fornisce agli utenti una certa garanzia. Tuttavia, il solo fatto che le informazioni personali di un cliente possano essere accessibili a terzi contraddice l'idea di anonimato assoluto. Inoltre, i recenti avvenimenti negli Stati Uniti (quando un account di posta elettronica di Hillary Clinton, una delle speranze presidenziali, è stato violato a causa di un attacco di hacking) sono indicativi della vulnerabilità dei moderni sistemi di sicurezza informatica.
In sintesi: vale la pena utilizzare questa applicazione? Si tratta di una variante perfetta per gli utenti che desiderano ottenere un servizio rapido e conveniente ai fini della comunicazione privata. Tuttavia, quando si tratta di persone con uno spirito paranoico che vogliono avere la certezza della sicurezza assoluta delle conversazioni e dei dati personali, Telegram non può garantirla. È un'altra questione che l'esistenza di qualsiasi altro messenger che fornisca tali garanzie rimane oggi dubbia.
