Cybersecurity Come rendere sicure le comunicazioni La messaggistica e la criptazione end-to-end

II.

La messaggistica e la criptazione end-to-end

Purtroppo gli standard impiegati dalle reti di telefonia mobile supportano solo algoritmi di criptazione deboli e non possono essere considerati davvero sicuri. La comunicazione via SMS per esempio comporta il fatto che un aggressore possa facilmente decifrare la criptazione e leggere i nostri messaggi. Nelle reti mobili il traffico viene generalmente criptato solo dal proprio telefono alla stazione di base, dove il codice criptato viene decriptato ed il messaggio viene trasmesso in chiaro.

Due telefoni che si mandano messaggi attraverso un tunnel sicuro end-to-end
Due telefoni che si mandano messaggi attraverso un tunnel sicuro end-to-end

Sempre più applicazioni al giorno d'oggi supportano la criptazione end-to-end, che significa che una volta che il traffico viene criptato sul proprio computer (o telefono) l'informazione viaggia criptata fino a che il destinatario non la riceve e decripta il messaggio. Se la criptazione è stata implementata in modo sicuro, persone esterne non possono decriptare il messaggio senza avere la chiave, la quale si trova solo nel computer del destinatario. Affinché un aggressore possa decriptare il messaggio deve poter accedere al nostro computer o a quello del destinatario per poter monitorare la comunicazione. Si pensi agli esempi di criptografia del capitolo precedente, se il cifrario di criptazione è sicuro e la chiave rimane segreta, solo i destinatari designati possono decriptare il messaggio.

Alcuni esempi di app che impiegano una criptazione end-to-end sono:

  • Signal

  • Telegram

  • WhatsApp

  • Facebook Messenger

Tra queste applicazioni solo Signal utilizza delle implementazioni open-source, il che significa che possono essere verificate da chiunque (l'opposto del principio sicurezza per oscurità). Gli algoritmi impiegati dall'applicazione Signal sono generalmente considerati sicuri e sono stati abbondantemente studiati. Il vantaggio di una implementazione open-source e verificata è che una volta si sia dimostrata la sua sicurezza, essa può venir utilizzata anche da altri. Il protocollo di Signal per esempio viene usato anche dall'applicazione WhatsApp.

Note

Per come vengono utilizzati i gruppi di WhatsApp, i membri che vengono aggiunti a gruppi esistenti non beneficiano di una sicurezza end-to-end e un aggressore che abbia accesso ai server di WhatsApp può farvi irruzione.

Telegram invece ha fatto ciò che si considera infrangere la prima regola della criptografia (non sviluppare il proprio codice criptato) e ha creato il suo proprio protocollo. Molte critiche sono state mosse a questo protocollo e alcuni ricercatori lo considerano decifrato. Alcune vulnerabilità sono già state individuate nel protocollo. Alle vulnerabilità note sono stati trovati rimedi ma ciò nonostante, molti ritengono ancora che non si possa fare affidamento sulla segretezza dell'implementazione criptografica di Telegram. Allo stato attuale, non sussistono vulnerabilità note nell'implementazione criptografica di Telegram.

Facebook Messenger prevede una modalità chiamata di conversazione segreta, la quale è criptata end-to-end. Tuttavia si deve scegliere questa modalità e non è impostata di default. Le chat di gruppo non vengono criptate end-to-end e non ci si può fidare che siano sicure.

Se in un'applicazione di messaggistica si cerca innanzitutto segretezza, allora al momento Signal e con qualche caveat WhatsApp sembrano essere le alternative più sicure. I messaggi SMS non dovrebbero venir utilizzati per nessuna comunicazione confidenziale.

Note

Perché è necessario che la messaggistica sia sicura?

Ci si potrebbe chiedere perché preoccuparsi tanto di proteggere le proprie comunicazioni, quando non facciamo nulla di illegale. Ma si prendano bene in considerazione le proprie comunicazioni. Per quanto la maggior parte delle informazioni possano avere confidenzialità limitata, ci sono frammenti di informazione che se messi insieme potrebbero fornire ad un aggressore informazioni sufficienti per commettere un furto di identità o addirittura penetrare nei nostri account.

Tra gli esempi di dati che si rischia di rivelare ci sono:

  • informazioni bancarie

  • numero della carta di credito

  • indirizzo email in combinazione con la password

  • dati della previdenza sociale

  • indirizzi

  • numeri di telefono

  • le risposte alle domande di sicurezza con le quali si proteggono i propri account

  • cookie con i quali un aggressore potrebbe riuscire a infiltrarsi in una sessione e accedere al nostro account.

Per quanto la lista fornita sopra contenga item di cui noi stessi possiamo lasciare traccia, bisogna anche considerare la quantità di informazioni che raccolgono i nostri dispositivi. Tra queste ci possono essere coordinate GPS, l'uso che facciamo delle applicazioni, i momenti in cui siamo attivi e i dati relativi alla nostra salute come ad esempio il nostro ritmo cardiaco. Con queste informazioni, un aggressore può farsi un'idea piuttosto accurata della nostra vita quotidiana che comprende l'ubicazione della nostra abitazione, i posti che visitiamo frequentemente, le persone che incontriamo, dove lavoriamo, se abbiamo problemi di salute e così via.

Si ritiene che alcuni paesi monitorizzino le comunicazioni dei loro cittadini per controllare il flusso delle informazioni e sorvegliare i dissidenti. In alcuni di questi paesi, la criptazione end-to-end può addirittura venir proibita o i governi possono rendere obbligatoria l'esistenza di backdoor o debolezze all'interno di una tecnologia, in modo da poterle sfruttare per violare la criptazione della messaggistica e la sua confidenzialità. Per capire se questo rappresenta un rischio per quanto ci riguarda, bisogna dare un'occhiata alle leggi del paese in cui ci si trova ora o nel futuro e dal quale potenzialmente si spediscono/ricevono dati.

Note

Cosa fare e cosa non fare in ambito di sicurezza:

Cosa fare

  • Verificare di star utilizzando connessioni criptate, per esempio assicurarsi che ci sia il simbolo del lucchetto nel proprio browser.

  • Si pensi dove si fa uso della propria carta di credito: ci si può fidare di quei siti?

  • Si faccia attenzione a quali dati le app che utilizziamo possono rivelare su di noi.

Cosa non fare

  • Non usare domande di sicurezza, sono davvero facili da scoprire.

  • Non permettere alle app di monitorarci senza che ce ne rendiamo conto e si opti per lo spegnimento delle funzioni di condivisione dei dati se l'app lo permette.

  • Non rivelare nessuna informazione o nessun dato personale a carattere confidenziale in un messaggio SMS perché non sono sicuri.

Next section
III. I tipi di attacchi online

Follow us

#digitalskillup
About UsHelp CenterTerms & ConditionsPrivacy PolicyContact us

Questo corso è stato creato nell'ambito dell'iniziativa Digital SkillUp, marchio derivante dal progetto European Digital Academy, finanziato dalla Commissione europea con il supporto del Parlamento Europeo. Il progetto intende rendere le conoscenze di base sulle tecnologie emergenti disponibili ed accessibili a tutti i cittadini e alle piccole e medie imprese. Il suo scopo è quello di creare uno spazio di formazione online che offra contenuti ed opportunità di apprendimento aperti a tutti su temi quali l'IA, la blockchain, la robotica, la cybersecurity e l'IoT.

Questo progetto è stato finanziato dall'Unione Europea. Questa comunicazione riflette il mero punto di vista dell'autore. Non rappresenta il punto di vista dalla Commissione europea e la CE non è responsabile per nessuno degli usi che possono derivare dalle informazioni ivi contenute.