Pillole

Per la prima volta, il servizio di comunicazioni criptate ha rivelato nel dettaglio quanto spende per garantire la privacy degli utenti.

La Signal Foundation, che gestisce l'applicazione, ha pubblicato un'analisi dei costi operativi del servizio: circa 40 milioni di dollari quest'anno, che sono destinati a salire fino a 50 milioni di dollari entro il 2025.

I costi di Signal

"Siamo onesti su questi costi e crediamo che questo contribuisca a far luce sul motore dell'industria tecnologica, il modello di business basato sulla sorveglianza, che non è sempre evidente alle persone", spiega Whittaker a Wired US. Gestire un servizio come Signal – ma lo stesso vale per WhatsApp ,Gmail oTelegram – è “sorprendentemente costoso. Forse non lo sapete, e c'è una buona ragione per cui non lo sapete, cioè che le aziende che pagano queste spese tramite la sorveglianza non vogliono che lo sappiate”, aggiunge.

Leggi l'articolo su wired.it

Secondo la valutazione della privacy policy e dei termini di servizio svolta da PrivacySpy e ToS;DR, Telegram è messo meglio, non peggio, di Signal, WhatsApp, Element (istanza ufficiale) e altri.

PrivacySpy: Telegram 8.8, Signal 8, Element 7.2, WhatsApp 4.7
ToS;DR: Element B, Signal B, Telegram B, WhatsApp C

Penso che siamo tutti d'accordo in teoria: Telegram è peggiore degli altri in quanto ha la crittografia e2e solo nelle chat 1:1 e non di default ed il server closed source, con client e protocollo aperti e build riproducibili. In pratica, bisogna considerare come funzionano i protocolli e le implementazioni.

WhatsApp è closed source con binari offuscati e nessuno è in grado di verificare cosa faccia effettivamente l'applicazione. La fiducia richiesta in meta è massima.

Signal, considerato da molti il miglior protocollo per le applicazioni di comunicazione, ha alcuni problemi abbastanza gravi:

1. TOFU: richiede di verificare su un canale sicuro la chiave di crittografia di ogni dispositivo di ogni utente (impossibile nei gruppi con N grande) anche in caso di reinstallazione del client per escludere attacchi MiTM (https://t.me/monitoraPA/57343) (problema presente anche su WhatsApp, Telegram chat segrete e altri).
2. Tecnologia SVR e server su AWS: per salvare i dati in cloud si basa sulla tecnologia fallata intel SGX (https://signal.org/blog/the-ecosystem-is-moving/). I server sono su AWS IaaS gestito da Amazon che può accedere ai dati sfruttando tali falle. Per fortuna al momento il backup riguarda solo le impostazioni e il grafo dei contatti.
3. Assenza username: richiede di dare un identificativo personale come il numero di telefono anche per comunicare, non solo per iscriversi.
4. Server semi open source: non c'è modo di verificare che la versione presente su github sia la stessa in esecuzione. Inoltre, possiamo considerarlo semi open source in quanto per lunghi periodo non ha aggiornato il repository (per non mostrare il codice legato a mobile Coin).
5. Niente federazione: non supporta la federazione e contrasta l'utilizzo di client di terze parti, per questo niente versioni su f-droid (https://github.com/signalapp/Signal-Android/issues/127).
6. Finanziato dal governo USA alla pari di Google e altri.
7. Quindi anche Signal richiede un elevato livello di fiducia, nonostante sia completamente open source e con crittografia e2e. Personalmente se mi devo fidare cosi tanto, visti gli svantaggi dell'assenza di username, backup delle chat e applicazioni di terze parti, preferisco Telegram.

La migliore alternativa per le applicazioni di messaggistica è Element/Matrix poiché è completamente open source ed e2ee, ma soprattutto federato e quindi favorisce la decentralizzazione del sistema distribuendo il potere nelle mani degli utenti. Inoltre, supporta il cross-signing che risolve il problema TOFU e il backup delle chat in modo abbastanza intuitivo.
C'è un progetto di matrix per renderlo p2p ovvero privo di qualunque server e fiducia in terze parti.
Anche qui occorre fare attenzione a non utilizzare l'istanza ufficiale di Element che non è buona dal punto di vista della privacy e della raccolta dei dati personali. Alcuni difetti di Element/matrix sono i client PC basati su electron che consumano molte risorse CPU/memoria e il maggior consumo di traffico dati oltre all'assenza di una videoconferenza integrata attualmente basata su jitsi (questo dovrebbe essere risolto a breve).

Ringrazio Emilia che ha scritto nel canale Telegram/Matrix di Monitora-Pa questo breve riassunto della situazione delle principali app di messaggistica cosidetta istantanea.

Anche questa volta (l'avevamo già fatto un anno fa) prendiamo spunto da un post di Moxie Marlinspike che affronta il tema dei sistemi federati e di quelli centralizzati. Questa volta affrontiamo due degli altri nodi che il post pone:

• quanto controllo (lock-in) possono ancora effettuare i servizi centralizzati, al tempo in cui usare identificatori di terze parti (il numero di telefono) è ormai molto comune? E può questa tecnica essere utilizzata anche dai servizi federati?
• si sa che i sistemi federati hanno una innovazione molto lenta rispetto ai sistemi centralizzati. Ma quanta centralizzazione serve, per poter avere davvero una innovazione veloce? E quali sono le conseguenze dell'innovazione veloce in senso ecologico?

Proseguiamo poi con delle notizie di attualità:

• Apple fornisce un kit per la riparazione dell'iPhone; peccato che il costo sia proibitivo
• DuckDuckGo, motore di ricerca che promette maggiore privacy, includeva dei tracker e non lo diceva
• Bing, il motore di ricerca di Microsoft, non solo censura i risultati in Cina, ma censura persino nei suggerimenti automatici di ricerca. Alcune di queste censure, inoltre, avvengono anche fuori dalla Cina, per persone che hanno il dispositivo configurato per la lingua cinese.

Ascolta il podcast sul sito di Radio Onda Rossa