Niente backdoor in WhatsApp, neanche se la chiede Sua Maestà

21 Settembre 2017 196

Secondo quanto riporta Sky News, WhatsApp avrebbe respinto la richiesta di creare una backdoor sulla propria piattaforma di instant messaging avanzata dal governo britannico. I fatti sarebbero avvenuti nei mesi iniziali dell'anno in corso, secondo la fonte operante nel settore della sicurezza bene informata.

Come è già successo in casi analoghi passati, le agenzie governative motivano richieste di questo tipo con i terroristi e i criminali, che sfruttando l'avanzata crittografia end-to-end di app come WhatsApp et similia riescono a comunicare indisturbatamente senza rischiare intercettazioni. La fonte aggiunge che circa l'80 per cento delle investigazioni su terrorismo e altri crimini gravi subiscono le conseguenze di queste misure di protezione dei dati così avanzate.

WhatsApp, dal canto suo, dice di esaminare con estrema cura e diligenza tutte le richieste avanzate dagli enti governativi, e decide come agire di caso in caso anche in base alle leggi locali. Tuttavia, la natura della crittografia end-to-end stessa rende di fatto impossibile la lettura delle conversazioni a qualsiasi entità esterna alla conversazione, incluso WhatsApp stessa. In altre parole, anche volendo collaborare, WhatsApp non potrebbe recuperare i dati. Ciò che può fare è fornire alcuni metadati, come il nome di un account, date di creazione e indirizzo IP, e l'indirizzo mail associato.

Le parti in causa, insomma, rimangono cristallizzate sulle rispettive posizioni. I governi sostengono che si possano fornire livelli di crittografia e protezione intermedi per determinate categorie di persone, mentre per gli esperti di sicurezza una backdoor implica una minor sicurezza per l'intera rete. Inoltre, dicono, non servirebbe a niente: terroristi e criminali si sposterebbero su un altro servizio, o più in generale troverebbero altri sistemi per comunicare.


196

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
franky29

Tu hai detto si , ma chi lo fa? Nessuno tutti si prendono i browser già compilati ma basati su chrimium , quindi non puoi sapere

Dario · 753 a.C. .

Io non lo faccio, ma perché non potresti?

franky29

Ad esempio chromium te scariche resti il codice e dopo ti compilere Ra ri (quello) da solo ? Non penso

takaya todoroki

nessuno di questi è un proof of concept.
Tutti costoro dicono è debole *MA* non lo dimostrano
Se è debole puoi decodificare i messaggi e loro non sono in grado di farlo.

Pantheon

È closed source ....chissà a parole possono dire quello che vogliono ...

DeeoK

https :// medium.freecodecamp . org/why-i-asked-my-friends-to-stop-using-whatsapp-and-telegram-e93346b3c1f0

https :// www.rt . com/viral/381038-whatsapp-telegram-security-flaw/

https ://medium.freecodecamp . org/why-i-asked-my-friends-to-stop-using-whatsapp-and-telegram-e93346b3c1f0

Imho, il problema resta comunque la trasparenza ridicola da parte di Telegram mista al pavoneggiarsi su aspetti sui quali non può pavoneggiarsi (come l'essere OS).
Al di là di questo, con l'avvento della crittografia e2e anche su Whatsapp, fino a prova contraria le due app hanno lo stesso livello di sicurezza.

ErCipolla

Certo, su questo non discuto.

Ma il mio punto originale rimane: uno dei "punti deboli" maggiori (in quanto il più onnipresente e facilmente "infiltrabile") è il fornitore di servizi. Basti guardare il caso Snowden: l'NSA ascolta tutto e tutti proprio perché sono "agganciati" direttamente agli operatori telefonici (prezzolati, ma ovviamente non possono fare diversamente in USA) che forniscono log e trace di tutte le comunicazioni.

Non per niente, TOR è più sicuro proprio perché passa per vari nodi (= operatori diversi) e risulta più complesso ricostruire la catena.

takaya todoroki

bastava dire 'metadati' eh ;)
sì, i metadati sono importanti ma converrai c'è una bella differenza tra sapere che il CEO di Google ultimamente comunica molto spesso col CEO di HTC e sapere che il CEO di Google ha proposto ad HTC esattamente per 1,1 miliardi di dollari.
Se non cogli la differenza prova metterti nei panni di un operatore di borsa ;)

takaya todoroki

se ci fossero attacchi fondati esisterebbe un proof of concept (se non sai cos'è, fatti una ricerca).

Oliver Cervera

"e l'indirizzo mail associato"
LOL
QUALE?

DeeoK

Telegram è parzialmente open ed usa un protocollo di dubbia sicurezza. Ripeto, fatti due ricerche online.
Io, più semplicemente, non considero sicuri né Telegram, né WA, perché il secondo è closed, il primo ha aspetti oltremodo sospetti.

DeeoK

No: il fatto che codice del server sia open non significa che allora tutti si fanno server Telegram e, soprattutto, non è minimamente vero che nel mondo OS il 90% dei progetti venga fatto così. Nel mondo OS o è tutto open o ci sono lagne a destra e a manca.
Una volta che puoi fare un client come ti pare puoi benissimo scriverti un server se volessi. La comunicazione avviene tramite interfacce, non è rilevante il codice del server sia pubblico o meno, basta che l'interfaccia per la comunicazione sia nota. La reale differenza la fa solo il fatto che le API ti obblighino o meno a collegarti solo ed esclusivamente al server Telegram, non che tale server sia closed source. D'altro canto se tali API sono OS non ci vuole molto a riscriverne una versione che possa collegarsi ad un server diverso.
La questione Telegram puzza e pure parecchio.
1) Se vuoi essere traspente e ti spacci per OS non c'è ragione per avere un server CS. Il sospetto che tu stia nascondendo qualcosa è forte.
2) Una delle basi della crittografia è che sia meglio usare protocolli rodati. Signal è un protocollo open source e rodato da anni. MTProto è usato solo da loro, usa DH per la generazione delle chiavi ma per il resto è totalmente custom.
3) Veniamo all'aspetto a cui tieni tanto, cioè il fatto che non sia stato bucato il protocollo. In primis non è vero, se cerchi online ci sono casi di test. In secundis tirare fuori la questione dei soldi offerti è ridicola. Hai mai letto il testo del contest? Immagino di no, altrimenti non avresti tirato fuori la questione. Un contest di sicurezza fatto per bene è "Se buchi il software becchi i soldi". Quello di Telegram è "Se, facendo questo, questo, questo e quest'altro riesci a bucare il software allora hai vinto". Ma che razza di senso ha? E' come se scrivo un'applicazione e pretendo di trovare bug facendo solo determinate operazioni. E' un approccio ridicolo che in pratica non serve ad una mazza. La prossima volta che mi segnalano un bug dirò "Eh, mi spiace, il bug non esiste perché non hai fatto la sequenza di passi che ti ho detto di fare".

4) Considerati i primi 3 punti, c'è l'ultimo che non è certo meno importante. Solo i ricercatori si preoccupano di segnalare le falle. Telegram potrebbe essere stato bucato da agenzie governative ma queste non verrebbero certo a dirtelo. Per questo la cosa migliore è usare l'algoritmo più rodato possibile, perché ora come ora alla sicurezza di Telegram non ci crede più praticamente nessuno ed il sospetto è costante in tutti i settori dove la sicurezza è importante.
Per inciso, non vengono fatti contest dal 2014, fatti due conti su quanto ormai freghi a qualcuno della sicurezza di Telegram.

Datti una lettura anche qui, già che ci sei:
https : //security.stackexchange . com/questions/49782/is-telegram-secure

E K

Come non esisteva la possibilitá di farlo in Italia o in Germania a metá 1800, o in ogni altro paese prima che venisse fatto.
La ricetta é sempre la stessa ed é semplice, richiede peró tempo (molto, almeno 2 generazioni), investimenti in cultura e scolarizzazione (e il tutto costa molto) ed un governo che non cambi come il vento (motivo principale per cui queste cose non sono facilmente attuabili, in quanto una monarchia non costituzionale tende a proteggere i propri privilegi e sottomettere la popolazione, ergo nessun investimento per migliorare lo stato sociale dei sudditi, se invece si parla di democrazia, si scende a compromessi con l'elettorato e si cambia come cambia l'umore delle capre votanti).

So bene a cosa ti riferisci. Basta guardare i commenti in questo blog per capire che sono TUTTI esperti. Non esiste la sicurezza totale. E un qualche genio "so tutto io" ti dirà sempre che Telegram non é sicuro perché usa protocolli che secondo lui non sono i migliori. E' come chiedere se é meglio un S8 o un iPhone8.
Fatto sta che nessuno é riuscito a decriptare il protocollo MTProto pubblicamente (persino con ricompense elevatissime).
Se pensi, nemmeno i pagamenti effettuati dal tuo PC alla banca sono sicuri e gli americani riescono a decriptarlo. Il fatto non é se riesci, perché tutto viene decriptato da Google e NSA che hanno risorse infinite. La questione é quanto tempo. Non per niente le banche europee vorrebbero un protocollo 512bit sui browser per i loro clienti ma é stato proibito dagli Americani - a quel punto i terroristi potrebbero sfruttare quel protocollo e nessuno potrebbe decriptare le comunicazioni.

Deffie Hellman é solo un protocollo per generare la chiave per criptare e condividerla usando un server insicuro. Una volta generata la chiave, il protocollo di trasmissione é MTProto che é open source.

Che non voglia fornire il codice lato server mi sembra sia ovvio! Altrimenti chiunque può creare un server per Telegram. E' giusto che sia così e nel mondo Open Source il 90% dei progetti viene fatto in questo modo.

ErCipolla

Conosco bene la materia. Il punto è che si possono ricavare informazioni rilevanti anche senza conoscere il contenuto di un messaggio. Tramite le cosiddette "side channel information" e buoni modelli statistici si può già scoprire molto, a partire da CON CHI comunichi, con che frequenza, e molte altre cose interessanti

Saccente

Questo perché l’uomo del mondo è corruttibile.

Saccente

Veramente qua stiamo su hdblog…

Markk

Esiste l'nsa.

Markk

All'estero meno. Inoltre si lamentano mentre gli italioti sono contenti.

OlioDiCozza

si invece

Alberto

si vabbe... sua maestà.... aspetta che lo chieda nel modo giusto Daenerys Targaryen poi vediamo cosa succede

Dario · 753 a.C. .

1. Gente che controlla il software opensource c’è. Alcune volte vengono fatti audit, ma comunque spesso ci mette mano tutta la gente che forka il codice per fare client alternativi e per Telegram ce ne sono tanti di client alternativi fatti forkando il client ufficiale

2. Certo che possono rilasciare codice diverso da quello dell’applicazione, ma nulla ti vieta di scaricare il codice pubblicato e compilarti l’apk da te con quel codice

franky29

Ma poi il software open source chi lo controlla e poi siamo sicuri che tizio crea banana rilascia il codice di banana rendendolo opn source , ma poi al momento prima della compilazione e della distribuzione non inserisca un qualche cosa ?

NicoRoma90

si va beh, mica possono dire che mettono la backdoor!!! sarebbero dei c0gl10n1!!

anzi dicendo così è molto probabile ci sia già!!!

Frà

il tuo non è un cosiglio

Federico Brunetti

Il problema si è presentato anche su samsung tab 2

Dario · 753 a.C. .

Ma se con Telegram hai già dei dubbi nonostante è open, pensa con whatsapp che neanche conosci il codice

asd555

Sviluppati la tua app, fai prima.

MaK

Un anno e un mese che ho eliminato Facebook, si vive lo stesso :)

DeeoK

Mica ti ho detto di usarlo. Io Telegram continuo ad usarlo. Ritengo che probabilmente ho la stessa privacy che ho con WA e continuo ad usarli entrambi.
Signal ad ora è il top per la privacy.

Peppol

Minghia ci credo

Dario · 753 a.C. .

ma signal sembra un telegram del 2015, almeno quando l'avevo provato io non aveva neanche i messaggi vocali

Roman Pierce

ok, grazie

DeeoK

Ma i primi due punti sono quelli che sollevano perplessità.
1) il fatto che la crittografia sia e2e non è automaticamente sinonimo di sicurezza. Vedasi SSL.
2) Quella parte c'è, nel senso che se ben ricordo il protocollo MTProto è totalmente open. Solo che è fallato.

A riguardo ci sono svariati attacchi e basta cercare su Google.

DeeoK

Gli ultimi dubbi sono stati sollevati anche da The Verge pochi mesi fa.
Il punto è che ormai nessuno lo reputa sicuro e chi cerca privacy punta su Signal.
Sul discorso server, si chiama trasparenza.

Dario · 753 a.C. .

adesso hanno ripreso di nuovo a rilasciare subito

DeeoK

MTProto non è considerato sicuro. Telegram non ricordo se usi il metodo Diffie–Hellman o una sua versione modificata, ma il resto del protocollo è ritenuto tutto fuorché sicuro.
Ripeto, basta fare qualche ricerca online.

DeeoK

Sì, conoscevo quella discussione.

Aster

Signal

Lapidusss

La tua competenza riguardo algoritmi di criptazione e protocolli di sicurezza è spaventosa!

Apus

Peccato che Diffie Hellman sia mitm vulnerabile :)
Mannaggia a voi che on due nozioni di crittografia vi credete dei scesi in terra

Android Oreo

confermo qualche volta su g6

Android Oreo

ho sentito che non rilasciano i codici da un po'...

Bio'

nulla, si azzereranno le impostazioni .. è come disinstallarla e installarla una seconda volta.. l'unico rimedio è quello purtroppo

Android Oreo

purtroppo è diventata una cosa che usano talmente tante persone che è difficile non usarlo anche volendo. in un certo senso la massa ti obbliga ad usarlo

Android Oreo

molte volte lo fa anche a me

Android Oreo

Raga, stiamo ancora qua a discutere su Telegram o Whatsapp?

CiaoIM gente, CiaoIM.

takaya todoroki

Ti consiglio di informarti sulla crittografia end2end

takaya todoroki

"Mettetevi il cuore in pace insomma."

parla per te, lol

takaya todoroki

anzi solo un fesso userebbe una roba come WA per la cose davvero segrete...
Vanno usati strumenti che hanno superato gli audit dei crittologi di mezzo mondo.
E al 100% è quello che fanno i criminali veri.
La backdoor di WA servirebbe solo per controllare la gente comune..

Amazon Fire TV Stick e Cube, guida all'acquisto: modelli, differenze e prezzo

Garmin Venu Sq ufficiale: cambia la forma, non la sostanza | Video

Le 5 migliori cuffie over ear da acquistare a ottobre 2020

Guida a Google Assistant: come configurarlo e usarne tutte le potenzialità