mercoledì 8 aprile 2020

pc 8 aprile - Assemblee e sicurezza informatica: attenzione a Zoom!

da infoaut


In questa fase di distanziamento forzato, che si ripercuote anche sulle attività assembleari di centinaia di associazioni, centri sociali e altro, crediamo possa essere utile fare un po' di chiarezza sugli strumenti utilizzabili ai fini delle comunicazioni interne che in questo periodo siamo costretti a usare. Proviamo a farlo nel modo più breve possibile e con linguaggio meno tecnico che si può.
Tagliando con l'accetta, i software si dividono tra software a codice chiuso e software opensource. Altra distinzione è data tra commerciali, quindi a pagamento, e free. Innanzitutto bisogna precisare che le due cose non sono per forza collegate. Possono esserci software free a codice chiuso (vedi Whatsapp, Zoom, Facebook, etc.), ma anche software opensource gestiti da aziende commerciali.
Per software open source si intende un programma il cui codice è aperto e analizzabile da tutti. In questo modo chiunque abbia le capacità per farlo può analizzare, modificare e soprattutto trovare
errori nella sua programmazione. Questo rende i software opensource più sicuri rispetto ai concorrenti a codice chiuso - motivo per cui un sistema operativo come Linux è dieci passi avanti rispetto a Windows per quanto riguarda la sicurezza e l'aggiornamento costante. E' infatti presente sulla maggiorparte dei server che costituiscono la rete, anche su quelli delle grosse aziende.
A parte le vulnerabilità da eventuali attacchi esterni o le falle non ancora scoperte dai programmatori o scoperte ma non ancora chiuse, un altro problema che si incontra utilizzando software a codice chiuso è quello della 'fiducia'.
Esempio: WhatsApp nel 2014 inserisce la crittografia end-to-end. Quest'ultima garantisce agli utenti che i loro messaggi possano essere letti solo dai partecipanti alla conversazione. In pratica ogni utente ha due chiavi, una privata e una pubblica. Immaginiamole come un lucchetto (la chiave pubblica) e una combinazione che apre quel lucchetto (la chiave privata).
Per comunicare un utente scrive il suo messaggio e lo chiude in una scatola con il lucchetto dell'altro utente (che è pubblico, quindi utilizzabile ad tutti). A quel punto l'altro utente userà la sua combinazione (la chiave privata che possiede solo lui e che nel caso di WhatsApp è salvata sui nostri smartphone) per aprire il lucchetto e leggere il messaggio. E viceversa.
In questo modo solo con la nostra chiave privata possiamo leggere i messaggi che l'altro ha cifrato con la nostra chiave pubblica; e quindi, in teoria, i gestori di WhatsApp non potrebbero farlo. Tutto molto bello ma, siccome il codice di WhatsApp è chiuso, nessuno mi assicura che questo tipo di cifratura sia realmente implementato; e anche se lo fosse potrebbero comunque essere presenti falle (volute o no) che un malintenzionato (magari gli stessi programmatori di WhatsApp) può sfruttare per leggere le nostre chat.
Banalmente immaginate che mentre scriviamo nelle nostre chat ci sia qualcuno dietro di noi che spia il nostro schermo, quindi abbia accesso ai messaggi prima che vengano cifrati. La domanda a questo punto è: quanto ci si può fidare di WhatsApp e facebook? Zero, e basta dare un'occhiata a questi due link:

1) https://www.internetpost.it/crittografia-end-to-end-mito-realta/
2) https://attivissimo.blogspot.com/2016/04/whatsapp-attiva-la-crittografia-ovunque.html

Intendiamoci, non c'è alcun appello a rinchiudersi in isole felici, senza ragionare sulle possibilità di uso consapevole che dovremmo fare delle app commerciali. Anzi. Un uso consapevole ci vuole anche per le app che noi riteniamo amiche e sicure (un uso sbagliato potrebbe creare addirittura più problemi riguardo ad un post su Facebook). Immaginare percorsi di militanza nel 2020 senza usare strumenti come Facebook, Instagram e
WhatsApp è una scelta miope. Piuttosto, sta a noi capire e far capire come utilizzare questi strumenti e come curvarli per i nostri interessi, consapevoli però di quello che perdiamo in termini di sicurezza.
Torniamo alla distinzione tra opensource e codice chiuso. Abbiamo detto che possono esistere app opensource ma gestite da aziende commerciali. In questo caso la community può analizzare il codice, quindi posso avere la certezza che la crittografia end-to-end sia realmente implementata; ma l'azienda ad esempio potrebbe salvare i nostri metadati (chi scrive a chi, a che ora, da che luogo, con che frequenza), che sono dei dati che per loro hanno comunque valore perchè possono rivenderli ad altrettante aziende commerciali.

Notare bene che anche per le procure che fanno indagini questi dati sono molto importanti perchè, anche non conoscendo il contenuto delle nostre chat (ad esempio cifrate con la end-to-end), possono ricostruire le abitudini comunicative di un utente.

Alcuni esempi:

1) Tizio scrive a Caio un solo messaggio a settimana usando una app che questi metadati li conserva, per il resto non ha altri contatti 'virtuali' con Caio. Diciamo che non ci vuole un genio per capire o quantomeno per ipotizzare qual è il legame tra Tizio e Caio

2) due persone non si scrivono da molto tempo, ma a un certo punto si scambiano tanti messaggi magari scrivendosi da città diverse e il giorno dopo dalle celle telefoniche risulta che erano presenti in una zona dove è stato commesso un reato. Anche in questo caso si fa subito a ricostruire la vicenda.

Ovviamente questi non costituiscono una prova in tribunale, ma sono utilissimi ai fini delle investigazioni. A questo punto la soluzione migliore sarebbe affidarsi a un software opensource e gestito da qualcuno di cui ci possa fidare, e che tratti i dati nel modo più trasparente e sicuro possibile. Tutto ciò per dire che la soluzione più sicura, nel caso di chat audio e video, è essere sempre anche gestori dei propri server.

Si ma quindi che si fa? Niente paura. In soccorso ci vengono software opensource per conferenze come Mumble e Jitsi. Ovviamente anche qui vale il discorso della 'fiducia'. Quindi le possibilità sono due. Usare istanze di questi software ospitate su server affidabili (è il caso questo di A/I, collettivo made in Italy "nato nel 2001 dall’incontro di individualità e collettivi provenienti dal mondo antagonista e anticapitalista, impegnati a lavorare con le tecnologie e attivi nella lotta per i diritti digitali" che offre servizi come mail, blog, hosting web, vpn, con un occhio di riguardo a sicurezza dei dati e trasparenza. E' da poco attiva sui loro server proprio un istanza di Jitsi). Oppure, mettere su un proprio server su cui installare questi software in modo da avere il pieno controllo dei propri dati.
La morale della favola, per concludere, è farla finita di cadere nella trappola della facilità di utilizzo e installazione di un software, se questo va a discapito della nostra sicurezza.  Approfittiamo quindi di questo momento particolare per affinare e diffondere la conoscenza di alcuni strumenti che torneranno utili anche in futuro. Non c'è neanche bisogno di spiegare perché dunque utilizzare Zoom per le assemblee sia quantomeno problematico, ci limitiamo dunque ad allegare degli articoli:

https://www.punto-informatico.it/zwardial-trova-meeting-zoom-senza-password/

Nessun commento:

Posta un commento