Telegram: se non ti fidi di noi, usa le chat segrete

Telegram: se non ti fidi di noi, usa le chat segrete

Telegram è un’applicazione di messaggistica istantanea molto simile a WhatsApp, ma che sostiene di essere molto più sicura. Sarà vero? In questo articolo raccogliamo le opinioni di alcuni esperti di sicurezza e degli autori del programma.

Ormai avrai già sentito parlare di Telegram Messenger, l’applicazione di chat e messaggi creata dai fondatori di VK, il Facebook russo. Il programma nasce nell’agosto 2013, nel pieno dello scandalo della NSA. La sua icona, un aeroplano di carta su uno sfondo blu, simboleggia la libertà delle comunicazioni.

Telegram è disponibile per Windows grazie a Telegram for Desktop

Il lancio di Telegram non ha segnato alcuna rivoluzione nell’ambito della messaggistica istantanea, ma ha apportato un grande contributo in termini di sicurezza: Telegram copia l’aspetto e le caratteristiche di WhatsApp, aggiungendo un maggior grado di sicurezza nonché la possibilità di usare delle applicazioni esterne per chattare dal browser o dal desktop. Improvvisamente, molti utenti si sono resi conto che avrebbero potuto vivere la stessa esperienza offerta da WhatsApp, ma senza i suoi pericoli. Da allora, il successo di Telegram è stato notevole e su Google Play si trova al primo posto delle applicazioni più popolari.

Telegram Messenger si trova al primo posto delle applicazioni più popolari di Google Play

Abbiamo deciso di raccogliere più informazioni sulla sicurezza offerta da questa applicazione e, a tal proposito, abbiamo contattato Markus Ra di Telegram, che ci ha fornito la versione ufficiale degli eventi. Allo stesso tempo, per confermare le sue affermazioni, ci siamo messi in contatto con alcuni tra i migliori esperti di sicurezza informatica: Lorenzo Martínez, Chema Alonso e Geoffroy Couprie.

Telegram è come WhatsApp, ma più sicuro

A sinistra, Telegram; sulla destra, WhatsApp. La somiglianza è evidente…

Per quanto riguarda l’aspetto e le funzioni, Telegram è un clone quasi perfetto di WhatsApp, da cui è possibile inviare messaggi di testo, immagini ed emoticon dal cellulare o dal PC. Ciò che veramente distingue Telegram da WhatsApp è la sicurezza: Telegram si avvale di un sistema di codifica forte, delle chat segrete e dà la possibilità di distruggere i messaggi dopo pochi secondi. WhatsApp non ha nulla di tutto ciò. Telegram ha ottenuto tutto questo con solo 10 programmatori.

“Telegram vuole portare più sicurezza tra le masse, che non sanno nulla di crittografia né gli interessa. Tuttavia, la sicurezza non è sufficiente, deve anche essere veloce e facile da usare. Quindi, il programma si presenta come un’alternativa potente e sicura alle altre applicazioni di messaggistica”. Markus Ra (Telegram)

“Telegram ha avuto successo soprattutto a causa delle carenze di sicurezza di WhatsApp, che non ha dato il giusto valore a questo elemento sin dal principio. Telegram almeno ci ho provato”. Lorenzo Martínez

Tale è la fiducia di Telegram che gli autori hanno promesso una ricompensa di 200.000 dollari a chiunque trovi una falla nella sicurezza della sua applicazione, il cui protocollo è stato progettato da zero da un team di matematici. Il concorso, che si concluderà a marzo 2014, ha già avuto un impatto positivo, come la scoperta di potenziali vulnerabilità che sono state risolte velocemente dagli autori.

“Non sappiamo quanti ci hanno provato, ma sappiamo che finora nessuno ci è riuscito. Inoltre, questa iniziativa è servita ad attirare l’attenzione degli esperti di sicurezza di tutto il mondo. Grazie a ciò abbiamo scoperto dei rischi teorici che ci hanno fatto cambiare i nostri sistemi a dicembre”. Markus Ra (Telegram)

Tuttavia, secondo alcuni esperti, come Moxie Marlinspike, le condizioni del concorso sono troppo complicate, a tal punto che anche WhatsApp potrebbe superare la prova. In un’altra analisi, Geoffroy Couprie ha confutato molte affermazioni di Telegram, rivelando possibili falle nell’applicazione.

In questo momento di incertezza e di intercettazioni, un programma che mette al primo posto la sicurezza potrebbe oscurare il protagonismo di WhatsApp, ma queste critiche mettono in discussione l’effettiva sicurezza di Telegram. Possiamo fidarci di Telegram Messenger? È davvero più sicuro rispetto a WhatsApp?

Sulla carta, la sicurezza di Telegram è molto buona

Telegram conserva solo lo stretto indispensabile: vengono salvati solo i dati necessari per il corretto funzionamento dell’applicazione, come il numero di telefono e l’immagine dell’account. Le chat segrete non vengono memorizzate da nessuna parte, in quanto vengono inviate direttamente al destinatario, mentre quelle normali sono salvate sul server di Telegram, ma sono crittografate e nemmeno i dipendenti possono accedervi. Inoltre, quando tutti cancellano la chat, questa svanisce definitivamente.

La conversazione viene memorizzata finché fa parte della cronologia della chat di qualcuno. Quando tutti eliminano la conversazione, questa scompare per sempre. Anche con l’eliminazione dell’account tutti i messaggi, i contatti e le credenziali vengono rimossi per sempre dai nostri server”. Markus Ra (Telegram)

Sebbene sia un progetto non commerciale, l’infrastruttura di Telegram è distribuita a livello mondiale, in data center che si trovano in luoghi diversi come Londra o Singapore. Si tratta di una rete flessibile e decentrata in cui tutti i dati vengono memorizzati con sistemi di crittografia forte per impedire intrusioni locali o l’accesso da parte delle autorità. Ecco perché gli autori non esitano a dire che Telegram è “a prova di NSA”, anche se con sfumature.

“Telegram è solo un passo nella lotta senza fine contro la sorveglianza. Le informazioni fornite da Snowden indicano che potrebbero esserci delle porte secondarie nei sistemi operativi iOS e Android. Quindi in questo momento nessuna applicazione può essere considerata al 100% a prova di NSA”. Markus Ra (Telegram)

I pericoli, tuttavia, non si nascondono solo nel sistema operativo. Secondo Geoffroy Couprie, qualcuno con accesso al server potrebbe modificare o analizzare i messaggi cifrati. Due settimane fa venne scoperto un errore che avrebbe consentito un possibile attacco (Telegram lo ha risolto in due giorni). “Questo è successo perché Telegram utilizza la propria architettura piuttosto che seguire le pratiche accettate. Chissà cosa altro potrebbe nascondersi nel suo protocollo.” Ha commentato Couprie.

Un protocollo di crittografia proprio: coraggioso ma comprensibile

Per diffidenza o per innovazione, Telegram utilizza un proprio sistema di crittografia, chiamato MTProto e che è stato sviluppato da un team di matematici russi. Quando venne sviluppato, gli autori stavano cercando qualcosa di “veramente veloce” e che potesse proteggere le conversazioni con un sistema di crittografia che nemmeno i militari sarebbero riusciti a decifrare.

“Ci sono innumerevoli modi per creare una codifica forte. Usiamo algoritmi classici e testati invece di ciò che la NSA ha raccomandato. Le soluzioni che usiamo provengono da un periodo in cui la banda larga e la potenza del processore erano un bene molto più raro”. Markus Ra (Telegram)

Tuttavia, creare una sistema di crittografia da zero è considerato molto rischioso, poiché è un campo in cui si preferisce utilizzare delle tecniche robuste e collaudate. Dei sistemi simili a quello usato da Telegram, come OTR, sono stati sviluppati e testati per molto più tempo, un nuovo protocollo potrebbe dar luogo a spiacevoli sorprese a chi lo usa per le proprie conversazioni private.

Ma gli autori di Telegram non sono d’accordo: secondo loro, MTProto è solido.

“I punti deboli di questi algoritmi sono noti e sono stati sfruttati per decenni. Ma abbiamo combinato gli algoritmi affinché nessun attacco conosciuto possa avere successo. La cosa peggiore che gli esperti hanno detto sul nostro sistema di crittografia è che è inusuale e che richiede molte spiegazioni per essere compreso dagli esperti”. Markus Ra (Telegram)

Geoffroy Couprie ritiene che la creazione di un nuovo protocollo, sebbene non ci sia niente di male, ha portato Telegram a ignorare il contributo di altri protocolli, come OTR, utilizzato da molte applicazioni per aumentare la sicurezza delle comunicazioni. “Se qualcuno crea un protocollo da zero”, dice Couprie, “dovrebbe trovare una soluzione ai problemi che non sono ancora stati risolti. Telegram non lo ha fatto”.

Schema del protocollo di sicurezza utilizzato da Telegram Messenger (fonte)

Tuttavia, altri esperti vedono positivamente gli sforzi di Telegram. Questo è il caso di Lorenzo Martínez, secondo cui ha senso creare un nuovo protocollo quando lo scandalo della NSA ha messo in questione qualsiasi sistema precedente, soprattutto se si tratta di un sistema creato dai russi, classici antagonisti degli americani e della NSA. Si tratta di una visione condivisa anche da Chema Alonso: “La sua implementazione è nuova, forse per evitare la possibile esistenza di bug introdotti per facilitare la codifica”.

Attenzione: le applicazioni non ufficiali sono un rischio potenziale

La sua architettura aperta consente agli sviluppatori di applicazioni non ufficiali di collegarsi a Telegram. Ne esistono varie per Windows, Mac e Linux, ma questi programmi non hanno lo stesso grado di controllo e possono avere delle falle nella sicurezza.

In breve, un programma non ufficiale potrebbe avere vulnerabilità aggiuntive.

Un esempio dei rischi ci viene offerto da Webogram, una versione di Telegram per browser che è diventata molto popolare, ma la cui sicurezza è stata compromessa in modo molto evidente pochi giorni fa attraverso un semplice trucco: i titoli di altre conversazioni potevano essere visti senza autorizzazione. “Un errore minore”, secondo Telegram, che insiste sul fatto che la trasparenza è la chiave per risolvere qualsiasi futura vulnerabilità nell’applicazione.

“Come qualsiasi applicazione, anche Telegram può avere dei difetti. I nostri concorsi, le cacce ai bug e il sostegno della comunità open source garantiscono che le imperfezioni vengano rilevate e risolte velocemente senza danneggiare gli utenti”. – Markus Ra (Telegram)

Questo è vero per Telegram, ma può non esserlo per le applicazioni non ufficiali. Secondo Lorenzo Martínez, “nessuno è al sicuro da un falso Telegram e l’unico modo per mantenere la sicurezza è diffidare di applicazioni che sono al di fuori dei mercati ufficiali”. Telegram, nel frattempo, ha imposto delle regole affinché un’applicazione possa essere considerata sicura e presume che le applicazioni menzionate nella sua pagina seguano queste norme, ma altre potrebbero non farlo.

Telegram: “se non ti fidi di noi, usa le chat segrete”

La trasparenza di Telegram, tuttavia, è superiore a quella mostrata da WhatsApp e da altre applicazioni popolari: il codice sorgente del programma è disponibile e presto potrebbe esserlo anche quello dei server, sebbene “potrebbe non essere molto utile in questo momento”, aggiungono. “La nostra architettura è unificata e si creerebbero due cloud diversi di Telegram, cosa non accettabile. Ancora non sappiamo se andremo in quella direzione o no, ma in ogni caso un giorno pubblicheremo il codice sorgente”.

Sui vantaggi e i rischi della pubblicazione del codice sorgente dei server, Telegram ci ha detto che farlo “non aggiungerebbe molto alla fiducia”, dal momento che nessuno garantisce che il codice eseguito è quello mostrato nelle fonti”. “Per questo esistono le chat, qualcosa di cui ci si può fidare anche se non ti fidi di noi. E, per assicurarsi che la chiave utilizzata è veramente sconosciuta dal server, è possibile confrontare le immagini delle chiavi: se sono uguali, non vi è stata alcuna manipolazione”.

Se l’immagine della chiave è uguale su entrambi i telefoni, la chat segreta è sicura

Telegram è più sicura di altre applicazioni, ma non è perfetta

Quello che sappiamo finora suggerisce che Telegram è più sicuro di WhatsApp, LINE e altre applicazioni. Se prendi alcune precauzioni, come impedire l’accesso fisico al telefono e non utilizzare applicazioni non ufficiali che non hanno superato il controllo di qualità, è molto difficile che qualcuno intercetti o decodifichi le chat. L’accesso fisico al telefono può incrinare la sicurezza di Telegram.

“È un’applicazione con alcune limitazioni e se qualcuno ha accesso locale al dispositivo potrebbe utilizzare un sistema come Telegram Anti-Delete Protection Tool per evitare che i messaggi vengano eliminati e prenderli in futuro, come se fosse un keylogger”. – Chema Alonso

Lorenzo Martínez, invece, difende le intenzioni di Telegram: ” è più affidabile di altre applicazioni”. Questo non significa che è completamente sicuro. Sarebbe una dichiarazione imprudente. Ma sono partiti con l’idea di creare un’applicazione sicura”.  La sicurezza di Telegram, insomma, non è perfetta, perché la perfezione è impossibile da raggiungere, soprattutto in un settore come la sicurezza informatica, in cui lo scetticismo è una regola.

Extra: cosa usano gli esperti per chattare e cosa consigliano

Spinti dalla curiosità, abbiamo chiesto agli esperti quali applicazioni usano per chattare e cosa consigliano per comunicare in sicurezza. Lorenzo Martínez ammette che continua ad usare WhatsApp perché “tutti lo usano”, ma che sta dando a Telegram una possibilità perché “pensa alla sicurezza e può migliorare ancora di più”.

Molto diversa è la posizione di Geoffroy Couprie, che preferisce TextSecure per gli SMS e il sistema OTR per tutto il resto. A suo parere, si devono usare sistemi conosciuti, sviluppati da esperti e controllati per molto tempo. “Una volta che hai deciso quale applicazione userai”, aggiunge, “verifica come vengono stabilite le comunicazioni sicure, come si controllano le identità e come si informa sui problemi di sicurezza. Questi punti non sono sempre documentati, quindi non esitare a chiedere ai programmatori”.

Telegram, tuttavia, invita all’uso del buon senso: “ricordati che la sicurezza è ciò che fai, non quello che usi. Telegram può dare un ragionevole grado di sicurezza contro i criminali, gli amministratori di rete e le autorità, soprattutto se usi le chat segrete con i messaggi che si autodistruggono. Ma, tutto dipende da te. E non possiamo proteggerti da tua madre se ti prende il telefono e legge i tuoi messaggi prima che vengano distrutti…”.

Il consiglio che ci è piaciuto di più, però, è quello di Chema Alonso:”Io di solito mi metto a 100 metri nel mare, in costume da bagno, per parlare delle cose importanti…”.

Cosa ne pensi di Telegram? Ti sembra un’applicazione sicura?

[Adattamento di un articolo originale di Fabrizio Ferri-Benedetti su Softonic ES]

Vedi tutti i comment
Visualizzazione commenti in corso...