Pillole

Pillole di informazione digitale

Segnalazioni di articoli su diritti digitali, software libero, open data, didattica, tecno-controllo, privacy, big data, AI, Machine learning...

Riprendiamo il tema, trattato nella scorsa puntata, dell'uso di un Signal modificato da parte dell'amministrazione Trump. Ora sono emersi alcuni dettagli sull'hack grazie al quale si sono scoperte molte informazioni, e i dettagli mostrano un'inettitudine inaspettata.

Vediamo per sommi capi il programma dell'Hackmeeting (30 Maggio - 2 Giugno) a Cagliari.

Un report curato da State Watch e La quadrature du net dettaglia l'uso dei sistemi digitali, inclusi quelli di polizia predittiva, da parte delle polizie francesi.

Entriamo nel terreno delle notiziole:

  • furto di identità
  • multe e vicissitudini varie per alcune delle grandi aziende della tecnologia statunitensi
  • Whatsapp vince la causa contro NSO relativa all'(ab)uso dei server di Whatsapp per l'installazione di Pegasus
  • Trump chiude di tutto un po': dal database degli eventi climatici estremi, all'accesso internet nelle scuole pubbliche... in compenso dà il via libera all'IA per sostituire gli impiegati licenziati.

Ascolta l'audio sul sito di Radio Onda Rossa

Dal governo Usa, un'altra perla targata Mike Waltz: scoperto l'utilizzo di un'applicazione di messaggistica "fork" di Signal che, a differenza dell'originale, memorizza tutte le conversazioni in un archivio "sicuro", accessibile a... tutto il mondo. A sviluppare questo Signal pezzotto, la TeleMessage, una ditta israeliana legata all'IDF.

Facciamo una parentesi nel mondo del trasporto pubblico, guardando più nel dettaglio la notizia relativa all'incremento di produttività: stagnazione della busta paga e utilizzo dei bonus come strumento per erodere i diritti più basilari, a partire da malattia e infortuni.

Torniamo all'informatica, con la sezione delle notiziole:

  • progetti di software libero cercano di limitare l'impatto negativo dell'invio di segnalazioni da parte di sistemi basati su LLM
  • Meta torna a ricercare l'integrazione, sui suoi occhiali dotati di telecamere, di sistemi di intelligenza artificiale che vi ricordano come si chiama la persona che avete davanti
  • una ricerca sulle possibilità di persuasione degli LLM viene condotta su Reddit ignorando le regole della comunità e con discutibile attenzione all'etica, in nome del bisogno di conoscenza

E non dimenticate: a fine mese c'è Hackmeeting!

Ascolta la puntata sul sto di Radio Onda Rossa

Nella puntata due interviste. La prima a Noemie, di La quadrature du Net. La seconda a Paul Biggar, importante startupper della Silicon Valley e a favore della Palestina.

Quadrature du net Intervista a Noemie, del progetto La quadrature du Net. Analiziamo alcuni dei passaggi chiave che hanno attraversato la societa’ francese a partire dagli attentati di Parigi del 2015 per capire come hanno influenzato il sistema di sorveglianza tecnologica fino ad arrivare ai piu’ recenti processi a carico di attivist*.

Paul Biggar Dalle stelle delle startup della Silicon Valley a militante per la Palestina in pochi giorni. Una storia esemplificativa delle tensioni che si muove come un unico corpo a sostegno di Israele.

In fine puntata varie notizie interessanti

Ascolta la puntata sul sito di Radio BlackOut

Per la prima volta, il servizio di comunicazioni criptate ha rivelato nel dettaglio quanto spende per garantire la privacy degli utenti.

La Signal Foundation, che gestisce l'applicazione, ha pubblicato un'analisi dei costi operativi del servizio: circa 40 milioni di dollari quest'anno, che sono destinati a salire fino a 50 milioni di dollari entro il 2025.

I costi di Signal

"Siamo onesti su questi costi e crediamo che questo contribuisca a far luce sul motore dell'industria tecnologica, il modello di business basato sulla sorveglianza, che non è sempre evidente alle persone", spiega Whittaker a Wired US. Gestire un servizio come Signal – ma lo stesso vale per WhatsApp ,Gmail oTelegram – è “sorprendentemente costoso. Forse non lo sapete, e c'è una buona ragione per cui non lo sapete, cioè che le aziende che pagano queste spese tramite la sorveglianza non vogliono che lo sappiate”, aggiunge.

Leggi l'articolo su wired.it

Secondo la valutazione della privacy policy e dei termini di servizio svolta da PrivacySpy e ToS;DR, Telegram è messo meglio, non peggio, di Signal, WhatsApp, Element (istanza ufficiale) e altri.

PrivacySpy: Telegram 8.8, Signal 8, Element 7.2, WhatsApp 4.7
ToS;DR: Element B, Signal B, Telegram B, WhatsApp C

Penso che siamo tutti d'accordo in teoria: Telegram è peggiore degli altri in quanto ha la crittografia e2e solo nelle chat 1:1 e non di default ed il server closed source, con client e protocollo aperti e build riproducibili. In pratica, bisogna considerare come funzionano i protocolli e le implementazioni.

WhatsApp è closed source con binari offuscati e nessuno è in grado di verificare cosa faccia effettivamente l'applicazione. La fiducia richiesta in meta è massima.

Signal, considerato da molti il miglior protocollo per le applicazioni di comunicazione, ha alcuni problemi abbastanza gravi:

  1. TOFU: richiede di verificare su un canale sicuro la chiave di crittografia di ogni dispositivo di ogni utente (impossibile nei gruppi con N grande) anche in caso di reinstallazione del client per escludere attacchi MiTM (https://t.me/monitoraPA/57343) (problema presente anche su WhatsApp, Telegram chat segrete e altri).
  2. Tecnologia SVR e server su AWS: per salvare i dati in cloud si basa sulla tecnologia fallata intel SGX (https://signal.org/blog/the-ecosystem-is-moving/). I server sono su AWS IaaS gestito da Amazon che può accedere ai dati sfruttando tali falle. Per fortuna al momento il backup riguarda solo le impostazioni e il grafo dei contatti.
  3. Assenza username: richiede di dare un identificativo personale come il numero di telefono anche per comunicare, non solo per iscriversi.
  4. Server semi open source: non c'è modo di verificare che la versione presente su github sia la stessa in esecuzione. Inoltre, possiamo considerarlo semi open source in quanto per lunghi periodo non ha aggiornato il repository (per non mostrare il codice legato a mobile Coin).
  5. Niente federazione: non supporta la federazione e contrasta l'utilizzo di client di terze parti, per questo niente versioni su f-droid (https://github.com/signalapp/Signal-Android/issues/127).
  6. Finanziato dal governo USA alla pari di Google e altri.
  7. Quindi anche Signal richiede un elevato livello di fiducia, nonostante sia completamente open source e con crittografia e2e. Personalmente se mi devo fidare cosi tanto, visti gli svantaggi dell'assenza di username, backup delle chat e applicazioni di terze parti, preferisco Telegram.

La migliore alternativa per le applicazioni di messaggistica è Element/Matrix poiché è completamente open source ed e2ee, ma soprattutto federato e quindi favorisce la decentralizzazione del sistema distribuendo il potere nelle mani degli utenti. Inoltre, supporta il cross-signing che risolve il problema TOFU e il backup delle chat in modo abbastanza intuitivo.
C'è un progetto di matrix per renderlo p2p ovvero privo di qualunque server e fiducia in terze parti.
Anche qui occorre fare attenzione a non utilizzare l'istanza ufficiale di Element che non è buona dal punto di vista della privacy e della raccolta dei dati personali. Alcuni difetti di Element/matrix sono i client PC basati su electron che consumano molte risorse CPU/memoria e il maggior consumo di traffico dati oltre all'assenza di una videoconferenza integrata attualmente basata su jitsi (questo dovrebbe essere risolto a breve).

Ringrazio Emilia che ha scritto nel canale Telegram/Matrix di Monitora-Pa questo breve riassunto della situazione delle principali app di messaggistica cosidetta istantanea.

Anche questa volta (l'avevamo già fatto un anno fa) prendiamo spunto da un post di Moxie Marlinspike che affronta il tema dei sistemi federati e di quelli centralizzati. Questa volta affrontiamo due degli altri nodi che il post pone:

  • quanto controllo (lock-in) possono ancora effettuare i servizi centralizzati, al tempo in cui usare identificatori di terze parti (il numero di telefono) è ormai molto comune? E può questa tecnica essere utilizzata anche dai servizi federati?
  • si sa che i sistemi federati hanno una innovazione molto lenta rispetto ai sistemi centralizzati. Ma quanta centralizzazione serve, per poter avere davvero una innovazione veloce? E quali sono le conseguenze dell'innovazione veloce in senso ecologico?

Proseguiamo poi con delle notizie di attualità:

  • Apple fornisce un kit per la riparazione dell'iPhone; peccato che il costo sia proibitivo
  • DuckDuckGo, motore di ricerca che promette maggiore privacy, includeva dei tracker e non lo diceva
  • Bing, il motore di ricerca di Microsoft, non solo censura i risultati in Cina, ma censura persino nei suggerimenti automatici di ricerca. Alcune di queste censure, inoltre, avvengono anche fuori dalla Cina, per persone che hanno il dispositivo configurato per la lingua cinese.

Ascolta il podcast sul sito di Radio Onda Rossa