Whatsapp cifrato, ma dobbiamo fidarci sulla parola

Non viene aggiunta alcuna reale sicurezza per l'utente. Tanto clamore è solo marketing per indurre la falsa idea che nessuno potrà intercettare le nostre comunicazioni.



[ZEUS News - www.zeusnews.it - 20-11-2014]

Fotolia 70548606 Subscription Monthly XXL

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
WhatsApp, adesso i messaggi sono crittografati

Pubblichiamo le considerazioni di un lettore di Zeus News che introduce alcuni spunti di riflessione interessanti.

Buongiorno, mi occupo di sicurezza per large enterprise e agenzie governative. Vi scrivo a titolo personale e non dell'azienda da per cui lavoro.

Whisper Systems e il suo fondatore Moxie sono persone serie e competenti, ma questa è solo una mossa di marketing. Il modo in cui la end-to-end encryption è stata implementata consente a Whatsapp di leggere messaggi e allegati, in qualunque istante a totale discrezione della NSA o dell'FBI.

Proverò a farla breve e semplice. Se non ci riuscirò, sentitevi liberi di chiedermi chiarimenti. Parto con un esempio reale, per poi scendere più nel tecnico.

Notaio: voglio fare testamento, quindi vado da un notaio che autentica la mia firma e le mie volontà, le scrive in una busta chiusa che deposita al sicuro in cassaforte. Alla mia morte i miei eredi - che si fidano del notaio - accettano alla lettera e per autentico quanto scritto dal notaio. In questo scenario, il notaio è una parte terza, credibile che gode della fiducia di tutti.

E se il notaio è il marito di uno degli eredi? possiamo ancora fidarci?
E se il testamento dice che tutto rimane alla moglie del notaio? possiamo ancora fidarci?
E se il fisco mi contesta il patrimonio, che era noto solo nel testamento conosciuto dal notaio? possiamo ancora fidarci?

Magari il notaio è onesto, ma un delinquente gli punta una pistola alla tempia e lo costringe a violare la sua imparzialità. Come si vede dagli esempi, il notaio potrebbe non custodire adeguatamente il contenuto delle mie volontà o manipolarle.

Diretta: invece di coinvolgere una parte terza, di cui tutti si devono fidare, convoco gli eredi prima della mia porte ed esprimo direttamente e solo a loro le mie intenzioni, in modo che non ci siano dubbi sul contenuto e sull'autenticità della mia volontà.

Se trasportiamo questi concetti al mondo delle comunicazioni digitali (messaggi, telefonate, ecc...) ci troviamo in due scenari:

1) protezione end-to-site (notaio): affido le mie comunicazioni al notaio, che le autentica e custodisce.
2) protezione end-to-end (diretta): comunico direttamente con i miei interlocutori.

Facendo un passo ulteriore verso la tecnologia, stiamo considerando questi scenari:

1) Third trusted party: consegno le mie comunicazioni cifrate ed autenticate ad una parte terza, di cui tutti ci fidiamo e che si impegna a inoltrare i miei messaggi agli interlocutori opportuni.

mitm

2) End-to-end encryption: non ci fidiamo di nessuno, ci incontriamo di persona, ci diciamo quale "password" usiamo per scambiarci i messaggi o cifrare le nostre telefonate e come controllare che siano cifrate esattamente da noi due e che non siano state alterate da un attaccante che sta nel mezzo (Man In The Middle).

Veniamo alle comunicazioni dati, su internet: per ragioni tecniche (NAT), nella grandissima parte dei casi NON è possibile avere comunicazione diretta tra due telefoni o tra due computer. Se anche fosse possibile avere comunicazione diretta non c'è un modo comodo e sicuro per identificare i due terminali e occorre almeno un server pubblico che funzioni da "registro" o rubrica per trovare i "numeri" delle persone con cui si vuole comunicare.

In pratica, è necessario avere un server pubblico che si occupi di fare da "rubrica" e anche il rimbalzo delle comunicazioni. Questo accade SEMPRE, con Whatsapp, Skype e via dicendo.

Infine, a proposito di Whatsapp e della sua strabiliante end-to-end encryption: cifratura o no, tutti i nostri messaggi passano dai server di Whatsapp. Se voglio mandare un messaggio a Caio, come so quale chiave di cifratura ("password") devo usare per cifrare i messaggi per lui? chiedo a Whatsapp qual è la chiave di Caio.

Come so se Whatsapp mi restituisce la chiave di Caio o quella della NSA? nel secondo caso, sto cifrando i messaggi per la NSA, che poi li decifra e li ri-cifra con la chiave di Caio prima di mandarglieli?

Per essere sicuro, devo necessariamente "autenticare" la chiave di Caio, cioè verificare che la chiave restituita da whatsapp, sia quella di Caio e non della NSA? come faccio? ci sono vari modi, potrebbe essere il fingerprint, un QR code, che Caio mi comunica quando ci incontriamo di persona.

Sondaggio
Secondo te, quale oggetto peggio smarrire?
Il portafoglio
Lo smartphone

Mostra i risultati (2416 voti)
Leggi i commenti (2)

La contestazione a Whatsapp è tutta qui: non c'è, ad oggi, il meccanismo di autenticazione, quindi mi DEVO fidare dell'onestà di Whatsapp, e allora non serve la cifratura end-to-end. Se non viene aggiunta sicurezza, a che serve tanto clamore? è solo marketing per indurre la falsa idea che nessuno potrà intercettare le mie comunicazioni, mentre Whatsapp - o chi gli punta la pistola alla tempia - è comunque grado di farlo.

Facciamo l'ultimo passo: Whatsapp aggiunge un meccanismo - scomodo e fastidioso - per autenticare le chiavi. Come so se un messaggio è autentico? me lo dice l'applicazione di Whatsapp: e come so che non sta mentendo? Può sempre mostrare il lucchetto chiuso del messaggio supersicuro, mentre il messaggio non è stato realmente protetto.

E alla fine vale sempre la domanda delle 100 pistole: perché Whatsapp dovrebbe fornirci messaggi sicuri? È un'azienda e deve coprire i suoi costi, sta negli Stati Uniti e quindi deve fare i conti con la NSA e le sue richieste, che le piaccia o no.

Conclusione: niente sicurezza? no, ci sono modi e opzioni per raggiungerla, a seconda del contesto.

Marco Pozzato, CTO di PrivateWave Italia

Ti invitiamo a leggere la pagina successiva di questo articolo:
WhatsApp attiva la crittografia ovunque

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
UE, Francia e Germania vogliono la backdoor di Stato
Il messenger approvato da Snowden

Commenti all'articolo (3)

Esattamente. E questo vale sia per i protocolli di comunicazione, che per i formati dei file, che per i software, in primis per i sistemi operativi. Grazie al lettore-autore di questo vecchio articolo, molto chiaro. Leggi tutto
11-4-2016 16:31

Giusto, non c' altro da aggiugere.
22-11-2014 15:14

{Shiba}
No open source, no party. Possono spararla grossa quanto vogliono, ma se non vedo, non credo.
20-11-2014 09:02

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quale di queste professioni obsolete secondo te ha ancora un futuro?
Agente di viaggio. C' ancora qualcuno che prenota le vacanze in agenzia? (Parrebbe di s)
Cassiera di supermercato. Sostituita dalle casse automatiche e dalla spesa online. (Ma i clienti rimangono affezionati al vecchio sistema)
Centralinista. Sostituito dai centralini digitali. (Eppure resiste in molte aziende)
Data entry. Mai sentito parlare di scanner e OCR? (Invece c' chi inserisce ancora tutto a mano)
Dattilografo. I dirigenti moderni gestiscono il proprio blog, non dettano pi gli appunti a una segretaria; al massimo usano il riconoscimento vocale. (Ma esistono davvero dirigenti... moderni?)
Impiegato di banca allo sportello. Con i conti online una figura sempre meno utile. (Per in banca tutti lo cercano)
Giornalista. Con Google News, Facebook, Twitter e i blog, c' ancora bisogno di loro? (Almeno dei migliori, evidentemente s)
Postino. Con la posta elettronica, la posta tradizionale va diminuendo sempre pi. (Ma ci vuole sempre qualcuno che la consegni)

Mostra i risultati (2488 voti)
Settembre 2020
Windows XP, il codice sorgente finisce in Rete
Vecchio televisore mette KO la connessione Adsl di un intero paese
Attacco ransomware mette in ginocchio Luxottica
Ransomware blocca ospedale, muore una paziente
Veicolo autonomo investe e uccide; guidatore accusato di omicidio colposo
Il bug più serio mai scoperto in Windows
Bug in Immuni vanifica l'efficacia dell'app
Facebook ti paga se disattivi l'account
Amazon cancella 20.000 recensioni fake
Samsung brevetta lo smartphone completamente trasparente
L'app che abilita il God Mode in Windows 10
Intel, i Core di undicesima generazione sorpassano Amd
Windows 10 e il bug che deframmenta di continuo gli Ssd
Agosto 2020
Windows 10 rimuoverà automaticamente le app meno utilizzate
Malware negli smartphone a basso costo ruba dati e denaro
Tutti gli Arretrati


web metrics