Perché non fidarsi di Telegram

È da quando Whatsapp è stata acquistata da Facebook che in molti parlano di Telegram come una buona applicazione alternativa. È un peccato ed un male, secondo me (ultimo di una lista che conta pareri ben più autorevoli), vediamo perché.

Di chi è Telegram

Impadronendosi di Whatsapp, Facebook ha spinto un discreto numero di persone ad abbandonare l’applicazione (ed avevano perfettamente ragione).
E visto che ci preoccupiamo di chi è il proprietario, vogliamo sapere qualcosa di più di Telegram?

Telegram è stata realizzata da Pavel Durov, fondatore ugualmente di Vkontakte, la versione russa di Facebook. Passare da Facebook alla sua versione russa forse non è una grande idea.

Certo, c’è da dire che l’applicazione non è della società, ma legata ad una organizzazione senza fini di lucro (o quanto meno così era a Marzo: ci sono alcune novità significative che vedremo poi).

Telegram non è realizzato per fornire un reddito, mai venderà spazi pubblicitari o accetterà finanziamenti esterni. Non può essere venduto. Non stiamo riunendo una base di utenza, ma stiamo facendo uno strumento di comunicazione per tutti.

Questo dichiara (dichiarava?) Telegram.
Certo, c’è da dire che quando qualcuno chiede loro informazioni sulla loro informativa privacy, non rispondono, anzi, rispondono solo se prima usi la loro applicazione. Sappi però che se usi la loro applicazione, loro salvano i numeri di tutti i tuoi contatti… ed i nomi (Whatsapp no). Come mai? “Per elaborare il tuo grafo sociale”: cosa che, vale la pena ricordarlo, è pratica corrente di tutti i servizi di spionaggio. Non significa certo che Telegram è cattivo, ma di certo non adotta delle misure “sicure”. E, anzi, non risponde quando gli si chiede quale normativa nazionale si applica e come reagiscono alle richieste di informazioni dalle autorità.
Telegram non è limpido, quindi, ed incamera dati in maniera un po’ leggera. Però ti puoi dire che è sicuro perché i contenuti sono cifrati… vediamo!

Qualità della crittografia di Telegram

Non basta mettere una serratura alla tua porta di casa perché i tuoi mobili siano protetti: la serratura deve essere buona. Con la crittografia funziona allo stesso modo, e la crittografia di Telegram non è buona: una delle obiezioni mosse è stata “Questa è un’applicazione fatta adesso, vero? E perché la crittografia adottata è quella di trent’anni fa?”.
E poi la serratura da sola non basta: bisogna vedere come sono fatti i muri della casa: ci sono, sono solidi, o sono di cartapesta ed alti mezzo metro? Sono ovviamente elementi importanti, e la valutazione di Telegram ci dice che… BOH!? Telegram, che si pubblicizza come applicazione sicura ed a codice aperto, non solo non utilizza una valida crittografia, ma ha aperto il codice solamente dell’applicazione client, quella che ciascun utente installa sulla propria macchina. C’è un altro pezzo importante dell’architettura di Telegram, che è l’applicazione server, e questa nessuno sa come sia fatta: perché cifrare i dati, ma adottare una crittografia non valida? E perché dichiararsi a codice aperto ma, nei fatti, non farlo?

Se da un punto di vista societario Telegam può suscitare delle perplessità, dal punto di vista tecnico Telegram ispira diffidenza perché i suoi annunci non corrispondono alla realtà dei fatti.

A proposito di diffidenza: dicevamo di Pavel Durov, il russo, fondatore di Telegram e VKontakte? Un uomo molto vicino a Vladimir Putin gli ha fatto delle offerte per acquistare VKontakte: Pavel in un primo tempo ha violentemente rifiutato, ed in un secondo tempo… non ha più potuto rifiutare. VKontakte è stato venduto ad un oligarca russo, e qualche mese dopo Pavel ha rinunciato alle sue cariche nella società. Questo non dice nulla di Telegram, certo, tranne, forse, che è a portata di mano del Cremlino.

TextSecure: come Telegram, ma meglio

Avendo parlato male di Telegram, quindi, che alternative restano? Indubbiamente i programmi di OpenWhisperSystem: ancora non sono tutti disponibili per tutte le piattaforme, ma (cosa importante) sono affidabili. Su Android è offerta una applicazione per messaggi (con dieci milioni di utenti) ed una per telefonate cifrate; su iOS solo l’applicazione per telefonate (che in futuro offrirà anche messaggi).


Rinvii

Tags: , , , ,

Shortlink: http://www.tevac.com/?p=14550

23 Commenti a “Perché non fidarsi di Telegram”

  1. macpakko 29 settembre 2014 at 12:17 #

    La diffidenza verso l’origine russa di Telegram, è esattamente il motivo per cui sono rimasto su Watsapp.
    E gli stessi timori di subdoli spionaggi, mi fanno evitare di considerare gli smartphone Android cinesi.

    Poi certo, nulla è sicuro, e non è detto che Watsapp o un Motorola siano meglio per la mia privacy, e quindi scaramanticamente tocco ferro 😉

    • volkov 25 maggio 2016 at 22:42 #

      E’ interessante come la “origine russa” possa destare a qualcuno diffidenza, e a qualcun altro, come me, che questi paesi li ha girati in lungo e in largo, l’affidabilità, mentre la diffidenza me la generano tutto quanto è europeo a cominciare dai telegiornali che raccontano balle infernali su quello che succede in Ucraina e sulla acclamatissima e pacificissima annessione della Crimea alla Russia, o della rivolta “degli Ucraini” perpetrata da mercenari che nulla hanno da perdere perché raccolti negli strato sociali più vulnerabili e pagati in dollari americani (ma in Ucraina non c’erano le Grivne?).
      Che ne dici di eliminare i preconcetti e di (invece) ascoltare le più interessanti obiezioni di tipo tecnologico e specialistico?

    • volkov 5 luglio 2016 at 16:44 #

      Ma cose più concrete alle palline dei telegiornali, degli americani per diffidare dei Russi ce le hai?
      Noi (ossia “voi” con tutto il rispetto) abbiamo un’idea assolutamente distorta del Russo.
      Qualche motivo perchè i russi non vi spierebbero mai ve lo do io.
      I russi spiano solo chi costituisce un pericolo per loro, e odiano perdere tempo.
      Il motivo per cui invece i russi potrebbero aver voluto e fatto telegram potrebbe essere il danneggiamento e il fine sbeffeggiamento del nemico ossia: danneggioare facebook e l’occidente più americanizzato e i loro simboli attuali (facebook per l’appunto). Loro spionaggio a fne commerciale NON LO FANNO, lo giudicano volgare e meschino.
      Spiarti non costituisce un interesse per loro, ma è un loro interesse togliere un individuo dallo sionaggio facebookkiano.
      Sono gli americani e gli occidentali che hanno mille scopi in più per spiarti, due fra questi le tasse, il commercio. E con facebook e whatsapp gli abbiamo fornito degli strumenti d’oro.
      Anche se adesso whatsapp ha criptato (in modo non per niente automatico, so deve smanettare, e molti nell’inganno verranno spiati) resta la cosa peggiore: la posizione. che telegram non usa per niente.

  2. mic 2 ottobre 2014 at 14:30 #

    Nonostante certamente TextSecure sia la cosa più vicina alla military-grade protection che tanto si sbandiera in giro.. questo articolo contiene un sacco di imprecisioni.

    In primo, Pavel Durov è quanto di più lontano dall ideologia putiniana possa esistere… non per niente ha lasciato la russia proprio per questo. E VKontakte non è che sia proprio stato venduto cosi come viene descritto.. gliel hanno praticamente estorto con la forza ( http://en.wikipedia.org/wiki/Pavel_Durov#Leaving_VK )

    Inoltre, i server sono in inghilterra, come si può leggere nelle FAQ ( https://telegram.org/faq#q-who-are-the-people-behind-telegram ) e come è possibile notare dal traceroute

    Ultimo, ma non meno importante, le fonti che citi per le analisi tecniche della sicurezza sono tutte vecchie e risalenti ancora a novembre/dicembre.
    Tuttavia le falle menzionati erano.. come dire? difetti di giovinezza più che altro.. che in teoria, col tempo sono tutte stati (quasi?) tutti sistemati ( http://unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/ )
    Se hai qualcosa di più recente, libero di rispondere

    E ah, quasi dimenticavo, telegram salva anche i nomi dei contatti… in maniera che sul client desktop non ti serva ricordare i numeri a memoria.
    Se conosci altri programmi/protocolli alternativi che sono disponibili in versione nativa per computer, pendo veramente dalle tue labbra
    Ciao

    • Signor D 2 ottobre 2014 at 18:33 #

      Grazie mic per il tuo commento.
      So bene che VKontakte è stato estorto e che Durov se n’è andato, non mi sembra di avere scritto il contrario. Dove sono i server è altro rispetto alla sede legale del servizio (e Inghilterra non mi piacerebbe, comunque).
      Interessante che abbiano sistemato dei problemi, ma senza codice del server, non vale niente (ed infatti non ostante le pezze, il giudizio sulla sicurezza non cambia). Ed al di là delle falle sistemate o meno c’è la questione del protocollo: quello di TextSecure è superiore.
      Capisco che ti piaccia o ti risulti comodo: anche Domenico mi segnalava come gli risulti la soluzione più pratica. Tuttavia quello che mi ha segnalato mi fa sospettare ancora di più: sincronizzazione tra i dispositivi? Mah…

      Altrimenti ti consiglierei di adottare una rubrica basata su sincronizzazione CardDAV, e di valutare TextSecure come estensione di navigatore (ancora in test) https://github.com/WhisperSystems/TextSecure-Browser (e nel momento in cui sarà pronta per FirefoxOS, comunque, sarà ugualmente disponibile su qualunque sistema con Firefox. https://github.com/loqui/im/issues/395

      • mic 2 ottobre 2014 at 23:23 #

        “Questo non dice nulla di Telegram, certo, tranne, forse, che è a portata di mano del Cremlino.”
        Questa cosa mi sembra proprio voler affermare quello che tu dici di non star affermando

        Il traceroute comunque, come ho detto, non lascia dubbi riguardo la posizione del server.
        Che poi si possa obiettare che una volta giunto ad esso tu non sai più i tuoi dati dove possano finire.. è vero, ma questo allora vale per qualsiasi cosa si trova su internet allora
        Gli indirizzi ip a cui sono collegato ora almeno sono: 149.154.167.51, 149.154.167.91 e 173.240.5.1

        Un applauso comunque ai ragazzi di open whisper systems comunque per il loro open source senza eccezioni e appunto, davvero military-grade.
        Il suo unico vero difetto secondo me (oltre al fatto che non ha un client desktop, per ora, e che non supporta l invio di ogni tipo di file, ma solo il trio standard audio/foto/ideo) è che..
        non ha quel feeling a prova di idiota² che whatsapp medda o telegram invece hanno

        Cioè.. non sono uno psicologo.. però dai in mano allo tipico stereotipo di stupida ragazza viziata telegram, e già ti strabuzzerà gli occhi perchè.. non è verde come whatsapp però almeno lo sopporta
        Textsecure… boh, robe da scappare via
        Purtroppo almeno qui il mondo mi pare cosi

        • mic 2 ottobre 2014 at 23:26 #

          Mi auto rispondo dato che mi sono accorto che 173.240.5.1 è registrato negli USA…. boh valli a capire

          ps: cool, ho trovato anche la relativa subreddit nel frattempo http://www.reddit.com/r/Telegram/

          • Signor D 3 ottobre 2014 at 01:03 #

            Eh! Del resto non vorrei offenderti, ma Runa Sandvik ci ha speso un po’ di tempo, non trovando il servizio sufficientemente chiaro: credo che ci possiamo fidare della sua analisi (anche se, certo, qualcosa può essere cambiato)!

        • Signor D 3 ottobre 2014 at 01:01 #

          Mi sembra in effetti logico ritenere che come personaggi molto vicini a Putin hanno potuto mettere in difficoltà Durov per quanto riguarda VKontakte, analoghe manovre siano potute avvenire (con successo) per Telegram. Magari Durov ne è al corrente e non può parlare oppure non sa che chi tecnicamente gestisce le operazioni le ha compromesse. Ad ogni modo, soprattutto con l’interesse che c’è stato per Telegram, mi sembra ingenuo credere che Putin non l’abbia quanto meno guardato con cupidigia.
          In sintesi: non ce l’ho con Durov, ma è evidente che è debole ed incapace di tenere testa agli amici di Putin.

          È interessante (e preoccupante) sapere che il segnale riconduce all’Inghilterra, ma al tempo stesso questo non chiarisce gli aspetti legali della vicenda: la società può avere sede altrove.

          Sicuro che TextSecure non sia ancora così immediato? È studiato per cifrare automaticamente non appena possibile, in maniera chiara ed efficace, e sostituire l’applicazione di sistema per gli SMS… a me sembra fatto bene, ma confesso di non avere avuto davvero modo di sperimentarlo.

  3. mic 3 ottobre 2014 at 19:00 #

    Da quello che vedo, Runa Sandvik ha semplicemente fatto delle domande su twitter.. niente di estremamente ufficiale, e niente che.. come dire..
    mi immagino sempre tutti i grandi servizi con una pagina twitter continuamente bersagliati da gente scema che ha di questo e di quello problemi.. per questo non mi sembra cosi scandaloso che al 80% dei messaggi non rispondano

    Detto questo, perchè dici che l inghilterra è preoccupante?
    La sede legale comunque sembra anche essa li ( http://companycheck.co.uk/company/OC391410/TELEGRAM-MESSENGER-LLP )
    Come si nota dalle pagine play store e itunes, questa è la corrente azienda che usa il marchio, anche se una precedente Telegram LLC (registrata invece negli USA) esisteva, fino a quando non è accaduto quello che è accaduto a Durov, che tra l’altro sembra proprio essere il tipo con le palle dato che afferma che gli unici proprietari dell infrastruttura e del programma siano lui e suo fratello
    http://top.rbc.ru/retail/22/07/2014/938257.shtml
    http://calvertjournal.com/news/show/2922/pavel-durov-launches-clone-telegram-app-better-faster

    Tornando alla discussione puramente tecnica… Anche telegram supporta la perfect forward secrecy, per questo ora come ora (notando che nessuna delle vecchie analisi tecniche ne parla) ho l’impressione sia davvero migliorata sotto questo punto di vista rispetto al passato (in attesa di una smentita autorevole e aggiornata)
    https://core.telegram.org/api/pfs
    Questo, non per sminuire TextSecure, che sono sicuro avrà sempre dalla sua la possibilità di scambiarsi le chiavi.. “a mano”, sacro graal di qualsiasi metodo di crittografia
    E confesso anche io di non aver avuto l’occasione di provarlo per più di una mezza giornata… tuttavia lo sfido nell’avere l’immediatezza di telegram.
    Dopo 2 anni di whatsapp (& relativi limitazioni), non sai quanto mi senta libero a poter scrivere con la tastiera del computer, e ciò nonostante avere sia il log delle chat che le notifiche dei messaggi non letti tutti sincronizzati, tornare indietro mi risulterebbe davvero pesante

    • Signor D 12 ottobre 2014 at 18:15 #

      Runa Sandvik ha letto tutti i loro documenti, e li ha contattati per i canali disponibili, senza ricevere risposte. Un servizio che dovrebbe difendere la riservatezza e che non risponde, sulla riservatezza, ad una personalità di riferimento nell’ambito a livello mondiale? Partiamo bene.

      Inghilterra -> GCHQ

      Quanto al protocollo ti invito sinceramente a discuterne con Frédéric Jacobs: il suo appunto è nato da una mia sollecitazione, e non ci sono molte persone più competenti di lui. Non farti problemi per il fatto che la discussione è iniziata in francese, continua pure in inglese.

      Sfida raccolta: TextSecure è di semplicissimo utilizzo.
      https://whispersystems.org/blog/the-new-textsecure/

      Ah, non nego che avere uno strumento che ti sincronizza tutto risulti comodo, ma proprio questo è indizio della intrinseca pericolosità di Telegram: un server, il cui codice nessuno conosce, che usa crittografia di basso livello, che si trova nel secondo paese al mondo per sorveglianza delle telecomunicazioni, di una compagnia probabilmente infiltrata dal Cremilino? Miam!

  4. mic 15 ottobre 2014 at 16:26 #

    Runa Sandvik ha ricevuto *alcune* risposte. Potevano sicuramente fare di meglio, certo.

    Comunque mi sembra che cominciamo a girare intorno, prima il cremlino, adesso il GCHQ… non è che anche se il server fosse in svizzera o in vietnam, l’NSA non si possa inventare di andarlo ad attaccare.

    La residenza dei server ha rilevanza solo nel caso di paesi che, da un giorno all’altro, ti possono fare arrivare uno squadrone di sbirri a razziare *fisicamente* i tuoi rack. In questo caso, credo che ciò che più si avvicina a questo pericolo sia la russia, ma abbiamo appurato che non è questo il caso (adesso non dico che l’Inghilterra sia le bahamas, ma comunque se mai ci fosse un raid.. ci sarà un giudice che emette fior fiore di mandato, come in tutti i paesi democratici, e mi accontento di questo)

    E infine io dico solo: per ora mi sembra il programma più conveniente. Textsecure ha sicuramente qualche altro passo ancora da fare prima di essere veramente noob-friendly.
    Ad esempio, per mandare le foto devo premere il bottoncino piccino del menu. Una stronzata dirai e direi anche io.
    Eppure so di gente che si perderebbe per molto meno (tipo mia mamma) se non trova l icona della macchinetta fotografica. A questo aggiungici anche il layout asettico bianco, che non aiuta per niente a richiamare l’attenzione di un potenziale utente.

    Poi io mi considero già qualcosa di più… e nonostante per me la sicurezza conti (tanto mi son rotto il culo per trovare un e-mail relativamente sicura che non fosse nemmeno PGP, protonmail.ch )
    le storie di durev non mi sembrano (ancora?) aver fatto acqua da qualche parte

    In definitiva sto con la conclusione di questo articolo 🙂 ( http://paulmillr.com/posts/the-story-of-telegram/ )

  5. marcelab 5 settembre 2015 at 12:59 #

    Ho visto che su youtube circola un video che spiega come clonare whatsapp. Grazie ad un programmino che copia l’id su un altro smartphone in modo da vedere esattamente ciò che viene ricevuto ed inviato dal telefono clonato. Non credo si possa fare su telegram utilizzando la chat segreta. Se mi dite che si può tranquillamente bucare anche questo programma… Beh allora ritorno a whatsapp

  6. marcelab 5 settembre 2015 at 13:35 #

    E sinceramente a me non frega molto se i Russi registrino nomi della mia rubrica o quant’alto. Non credo siano loro a venire dove abito per clonarmi lo smarphone…

  7. max 1 dicembre 2015 at 11:53 #

    Richiedere il codice del server non ha nessun senso perche` alla fine sul server ci gira quello che vogliono loro.

  8. alex 2 gennaio 2016 at 00:37 #

    Dopo aver scritto un articolo cosí, oggi alla luce dei fatti, degli sviluppi, della diffusione e delle funzionalità di telegram, ci starebbe bene un articolo correttivo, ma di sucuro non ammetterete mai che Telegram non solo è sicuro ma anche superiore ad altre app, tipo wathsapp.

  9. krovit 5 aprile 2016 at 10:04 #

    Questioni di lana caprina, si sarebbe detto una volta. Oggi con il pile la lana non usa più.

    Allo stesso modo disquisire su chi controlli chi e che cosa è perfettamente inutile.

    Certo è che se una tecnologia ha una base orientata nel cosmo di un blocco, ad esempio quello russo o quello americano o cinese (perché i blocchi esistano ancora, eccome!) quelli della “concorrenza” faranno carte false per “bucarlo”. Telegram ha origini russe? I servizi americani sanno anni che lo hanno aperto. WhatsUp è americano: i servizi russi saranno che lo hanno rigirato come un calzino. E tutti e due controllano anche gli utenti interni.

    La storia si ripete.
    Se andate a Firenze, una volta, date un’occhiata a Forte Belvedere e alla Fortezza da Basso, opere militari medicee. I meno attenti penseranno che erano fatte per proteggere i Medici dai nemici che avessero volute conquistare la città. Vero!
    Ma è pure vero che le fortezze erano rivolte anche contro i fiorentini perché il controllo doveva essere totale. Potere è sinonimo di controllo e non esiste potere, oggi, senza il controllo totale delle informazioni e dei flussi e delle fonti d’informazioni.

    Anzi, la prima è più semplice cosa è fornire al popolo lo strumento creato ad arte… così non c’è nemmeno da dover fare la fatica di doverlo aprire…

    Per questo, prima di ogni altra considerazione, poniamo l’attenzione, per favore, su una semplice lapalissiana verità che sta all’origine dell’informatica e della comunicazione: NON ESISTE UN SISTEMA SICURO NE’ UN SISTEMA CHE POSSA ESSERE RISERVATO.

    Di per sé, TUTTO è alla portata di chi volesse appropriarsi delle informazioni.

    E lo è realmente. Già in questo momento, in questo istante, se “loro” vogliono sanno, ad esempio, chi sono, dove sono e tutto il resto della mia vita, saldo del deposito bancario compreso…

    Sorprende che nerd più o meno esperti, anche MOLTO esperti, si illudano di sfuggire a questo controllo.

Trackbacks/Pingbacks

  1. Piccole scelte, grandi conseguenze | Signor D - 30 settembre 2014

    […] Perché non fidarsi di Telegram: http://www.tevac.com/perche-non-fidarsi-di-telegram/ […]

  2. Telegram Messenger, il futuro dell'instant messaging | Eroica Fenice - 10 giugno 2015

    […] Telegram non protegga davvero i dati degli utenti, poiché non sembrano essere davvero chiare le informative sulla privacy. Altri invece, sostengono che il difetto di Telegram Messenger risieda nella sua diffusione […]

Lascia un commento

%d blogger hanno fatto clic su Mi Piace per questo: