Le applicazioni di messaggistica più sicure

Messaggistica istantanea.

Chi usa uno smartphone difficilmente invia ancora sms per comunicare con la maggior parte dei suoi contatti, esistono molte applicazioni di messaggistica mobile gratuite che si contendono gli utenti. WhatsApp è probabilmente quella con un bacino di utenza maggiore, ma negli ultimi tempi hanno guadagnato molti consensi, per la maggior sensibilità al tema “sicurezza” anche Line e Telegram. Gli utenti Apple/iOS sono sicuramente più legati ad iMessage e FaceTime, chi utilizzava molto MSN Messenger ora è passato a Skype, ma ci sono anche tanti altri servizi più o meno conosciuti, come ad esempio Snapchat e WeChat.

Sempre più persone cercano di avere comunicazioni sicure, per motivi di privacy: anche se non si ha niente da nascondere, si ha il diritto di voler mantenere i nostri colloqui privati.

Com’è un’applicazione di messaggistica sicura?

Quando decidiamo quale applicazione usare, lo facciamo sempre in base a dei criteri di convenienza: è gratuita? la usano i nostri amici? è facile da installare e usare? Non la scegliamo mai in base al tipo di crittografia utilizzata, ma purtroppo usabilità e sicurezza sono cose diverse che non sempre si possono ottenere insieme con le applicazioni più popolari. L’Electronic Frontier Foundation, un’organizzazione internazionale che si occupa della tutela dei diritti digitali nell’informatica e nelle telecomunicazioni, ha analizzato i principali programmi per inviare messaggi secondo 7 importanti criteri di sicurezza. • Le comunicazioni in transito devono essere criptate. • Le comunicazioni devono essere criptate con una chiave che il provider non possiede, così chi fornisce il servizio non è in grado di leggere i vostri messaggi: si chiama crittografia end-to-end. • Il servizio deve permettere all’utente di verificare in modo indipendente l’identità dei suoi contatti. • Le comunicazioni passate devono rimanere al sicuro anche in caso di furto delle chiavi di accesso. • Il codice sorgente deve essere aperto per poter essere controllato in modo indipendente, non necessariamente rilasciato come opensource, ma che sia possibile visionarlo per assicurarsi che non ci siano falle, backdoor o problemi strutturali. • Il metodo di cifratura utilizzato deve essere ben documentato. • Il programma o l’applicazione deve essere controllata da un team di sicurezza indipendente.

Quali sono le app più sicure?

Quelle che da questa analisi risultano più sicure perchè rispettano maggiori criteri di sicurezza ed hanno comunicazioni cifrate, sfortunatamente, non sono molto conosciute ed utilizzate: ChatSecure, TextSecure/RedPhone (Signal su iPhone) e Cryptocat. Il tanto conosciuto BlackBerry Messenger non sembra essere tanto sicuro, a meno che non si utilizzi la versione progettata per le aziende, BlackBerry Protected. Entrambe le versioni offrono la cifratura dei messaggi in transito, ma solo quella aziendale offre cifratura ent-to-end ed ha documentato il metodo di cifratura utilizzato. Sia la chat di Facebook che Hangouts di Google offrono la crittografia delle comunicazioni in transito e sono stati oggetto di revisione, ma niente di più. Skype offre cifratura end-to-end dei messaggi ma non è mai stato sottoposto ad un controllo, il metodo di cifratura non è documentato, non è possibile verificare l’identità dei contatti né proteggere le comunicazioni precedenti. WhatsApp non offre crittografia end-to-end ed il metodo di cifratura non è documentato, non si può verificare l’identità dei contatti e la chiave per decifrare i messaggi è generata nei server di WhatsApp, il che permette alla società di leggere tutti i messaggi. Neanche le comunicazioni passate sono al sicuro ed il codice non è stato aperto per poter essere controllato. FaceTime e iMessage hanno passato meglio il test: entrambi offrono cifratuta end-to-end, le comunicazioni rimangono sicure anche se qualcuno ruba la chiave, il metodo di cifratura è ben documentato ed è stato controllato da terze parti. Telegram non protegge le comunicazioni passate, ma il codice è aperto per i controlli, offre cifratura end-to-end e permette di verificare l’identità dei contatti.

UPDATE [20.11.2014]: Dopo vari mesi di lavoro insieme alla Open Whisper Systems, WhatsApp include la cifratura end-to-end nelle nuove versioni per Android. Probabilmente in futuro anche per le altre piattaforme.

Telegram, 300mila dollari a chi vìola la cifratura

A proposito di Telegram c’è da dire che è un’ottima applicazione per la messaggistica istantanea ed uno dei suoi punti di forza è proprio la sicurezza. Tutti i messaggi inviati sono cifrati, per questo se qualcuno dovesse intercettare il canale di comunicazione tra due utenti non potrebbe comunque conoscere il contenuto della comunicazione cifrata. Ma se qualcuno ci dovesse riuscire potrebbe vincere i 300mila dollari messi in palio per chi cracka la cifratura dei dati di Telegram. Sono così sicuri di aver fatto le cose per bene, che chi decidesse di raccogliere la sfida potrà avere a disposizione un ambiente di lavoro simulato con libertà di monitorare il traffico dei messaggi, oltre a prendere il teorico controllo del server di Telegram per effettuare una maggiore quantità di attacchi.