I 3 motivi per cui Telegram è molto meno sicuro di quello che pensi
Telegram è sicuro per gli ucraini? Durov difende la privacy della sua app
Pavel Durov è tornato a parlare della sua creatura Telegram, esortando il popolo ucraino a farne uso senza timori perché sicura e protetta. Un messaggio che ha veicolato mediante il proprio canale Telegram e il proprio account Twitter, a distanza di 9 anni dal 2013, data in cui ha è iniziato un contenzioso tra lo stesso Durov e il governo russo per VKontakte, la rete sociale per antonomasia sia in Russia sia in Ucraina.
I servizi segreti russi volevano avere accesso ai dati di alcuni membri di gruppi considerati pericolosi e, l’allora amministratore delegato di VKontakte, ha opposto una ferma resistenza, caduta in modo definitivo ad aprile del 2014, quando il controllo di VKontakte è passato nelle mani dello stato. Durov ha lasciato la Russa, concentrandosi soprattutto su Telegram che, per onore di cronaca, esisteva già da un anno.
Cosa ha scritto Durov
Pavel Durov ha ribadito il proprio impegno affinché la sicurezza di Telegram sia garantita, soprattutto ora che l’app di messaggistica è ritornata a essere strumento molto utilizzato in Ucraina. I dati degli utenti, secondo Durov, sono al sicuro e il diritto alla privacy è inalienabile ora più che mai, con chiaro riferimento al conflitto tra Russia e Ucraina. Di fatto Durov non ha dato molte garanzie sulla solidità di Telegram, ha solo espresso la propria volontà di non cedere a eventuali ingerenze governative. Oggi Telegram è una società con sede a Dubai, mentre VKontakte ha la propria sede principale in Russia e quindi più esposta alle leggi federali. Occorre però capire quanto valgono le parole di Durov in rapporto all’app che ha creato.
Cosa dice Moxie Marlinspike
Il fondatore di Signal, Moxie Marlinspike, alla fine del mese di febbraio, ha usato Twitter come palcoscenico per ricordare che l’app di Durov ostenterebbe una sicurezza soltanto di facciata ma che, secondo lui, sarebbe soltanto un database su cloud con una copia in chiaro di ogni messaggio inviato o ricevuto.
Parole che vanno contestualizzate. Messaggi in chiaro non ne passano, ogni chat è crittografata end-to-end, sistema che rende impossibile la lettura dei messaggi lungo il percorso tra il mittente e il destinatario. Anche questo aspetto – qualsiasi app di messaggistica oggi è protetta da questo tipo di crittografia – non basta a dare ragione né a uno né all’altro.
Cosa c’è da sapere
Escludendo i diretti interessati, proviamo a osservare la questione con distacco. The Wall Street Journal e The Washington Post consigliano l’uso di Signal per lo scambio di informazioni sensibili, nessuno dei due media prende in considerazione Telegram.
L’Università di Udine ha svolto uno studio approfondito su MTProto 2.0, un algoritmo di crittografia proprietario, giungendo alla conclusione che non ci siano difetti logici, demandando però la questione alle vulnerabilità provenienti dalle primitive crittografiche e dalle loro implementazioni. Le primitive crittografiche sono le fondamenta su cui viene eretta l’impalcatura degli algoritmi di sicurezza e, da questo punto di vista, la sicurezza di Telegram è di altissimo livello. Va detto, a onore del vero, che Signal offre un livello ancora più alto.
Resta da considerare il percorso dei dati scambiati tra utenti. Dati che, nel caso di Telegram, vengono processati soltanto sul dispositivo del mittente e su quello del destinatario, va però sottolineato che, essendo un servizio cloud, tutto ciò che viene inviato viene conservato con alti livelli di crittografia su più server dislocati in diversi Paesi. Le chiavi per decrittare i messaggi risiedono fisicamente in data center che rispondono a diverse giurisdizioni.
Guerra digitale
Da Anonymus ai militari, quali sono i gruppi hacker attivi nel conflitto Russia-Ucraina
Conclusioni
Il messaggio di Durov può cadere nel vuoto, si è fatto garante della sicurezza di Telegram ma la sua volontà non è sufficiente a fermare eventuali ingerenze statali. La dislocazione dei messaggi e delle chiavi utili alla loro lettura su più server è una buona garanzia. Non si tratta di cadere nelle polemiche tra Telegram e Signal, si tratta invece di dare una dimensione alla sicurezza e alla privacy, lasciando da parte tutto ciò che è ininfluente. Un sistema è claudicante tanto quanto lo è il suo anello più debole e questo vale per ogni altra tecnologia.
