LE NOSTRE CHAT SONO VERAMENTE CRIPTATE E SICURE?

Breve analisi su come e quanto sono protette le chat. La nostra identità digitale è al sicuro?

Non deve stupirci.
I nostri “segreti” e le nostre informazioni più sensibili sono contenute nel nostro smartphone, oggetto con il quale ogni giorno lavoriamo.

I servizi di messaggistica/chat (WhatsApp, Telegram…) sono quelli più utilizzati e ovviamente sono i canali attraverso i quali passa il maggior numero di informazioni.

Tale affermazione è confermata dal fatto che è oggi possibile decidere di inserire un codice per utilizzare queste applicazioni, persino il riconoscimento facciale.

Si consideri anche che abbiamo ormai dato per certo che le nostre chat siano completamente criptate, pertanto abbiamo dato per certo di averne il totale controllo.

Ma siamo davvero sicuri di non avere abbassato la guardia troppo presto rispetto a quella che potrebbe essere una delle violazioni più significative della nostra privacy, ovvero l’accesso all’applicazione di messaggistica del nostro telefono, che, lo si ripete, è il maggior canale di scambio di informazioni e dati sensibili?

1. LE CHAT CRIPTATE DI WHATSAPP

Già da qualche anno gli esperti affermano che le chat dell’applicazione di messaggistica in oggetto non sono affatto sicure, non almeno quanto Facebook (che ora la possiede) vorrebbe farci credere.

Whatsapp. Le nostre chat sono al sicuro?

Nel 2017 il quotidiano The Guardian ha rivelato che esiste un modo di decriptare i contenuti inviati con l’app di messaggistica.

Come noto, WhatsApp utilizza una crittografia “end-to-end, proprio come Telegram

Quel tipo di crittografia consiste in una protezione dei messaggi con una chiave in possesso solo del mittente e del destinatario. Pertanto se due persone si stanno scambiando i messaggi e sono entrambe online non sarebbe possibile intercettarli.

Il rischio è per i messaggi che restano in sospeso, in attesa di consegna, quando ad esempio lo smartphone del destinatario è spento o non ha connessione. In quella fase di stallo, sarebbe possibile generare una nuova chiave crittografica che ricodifica il messaggio, rendendolo di fatto leggibile a WhatsApp.

Il vero problema sta nel fatto che Facebook era a conoscenza di questa mancanza, ma ha semplicemente replicato che tale caratteristica era prevista fin dall’inizio.

Nel 2019 l’aggiornamento dell’applicazione avrebbe, secondo Facebook, risolto il problema. Tuttavia, nella causa intentata in un tribunale della California, WhatsApp Inc. e Facebook Inc. accusano NSO Group Technologies Limited di aver utilizzato i server di WhatsApp per inviare un malware (Pegasus) che ha spiato i cellulari di almeno 1.400 utenti tra il 29 aprile 2019 e il 10 maggio 2019.

La causa intentata da Facebook contro un suo partner tecnologico

Le vittime – secondo gli avvocati di Facebook e WhatsApp – sono giornalisti, attivisti per i diritti umani, esponenti politici, dissidenti, diplomatici ed alti funzionari governativi stranieri, che si trovano negli Stati Uniti, negli Emirati Arabi Uniti, in Bahrein, in Messico, in Pakistan e in India. Non è escluso che ci siano state vittime anche in Europa.

Tutto ciò dimostra la vulnerabilità deI SISTEMI DI MESSAGGISTICA, seppure VIOLATI per opera di hacker professionisti, nonché l’estrema utilità deGLI STESSI nel campo dello spionaggio.

Ma nonostante questo, va detto che tale crittografia è estremamente più sicura rispetto alle e-mail.

Certamente vi sono accorgimenti da prendere, soprattutto in luoghi (come il nostro Paese) in cui il concetto di cyber-security deve ancora entrare nel patrimonio culturale. Sarebbe ad esempio sufficiente anche solo inserire la c.d. autenticazione a due fattori nei nostri smartphone come nelle app di messaggistica.

2. IL CONFRONTO CON TELEGRAM

Ogni app afferma di essere sicura al 100% e di rispettare la privacy dei propri utenti. Spesso queste rimangono semplicemente parole.

Telegram tuttavia offre oggi due funzioni aggiuntive rispetto a WhatsApp:

  • Autodistruzione dell’account superata una soglia di tempo oltre la quale l’account viene automaticamente eliminato;
  • Superfluità dell’associazione del numero di telefono al profilo. In sostanza, il profilo di Telegram è connesso ad un nickname e non al proprio di numero di telefono.

3. IL NUOVO CODICE DI COMUNICAZIONE ELETTRONICA

Il nuovo rapporto E.N.I.S.A. (Agenzia europea per la sicurezza delle comunicazioni) con riferimento al 2020 è molto chiaro ed ambizioso: nell’UE ogni azienda fornitrice di servizi di comunicazione dovrà attenersi scrupolosamente alle regole dettate in materia di sicurezza informatica e sottoporsi a controlli periodici dell’Autorità.

W

In particolare, entro il 21 Dicembre 2020 gli Stati Membri dovranno recepire la Direttiva direttiva (UE) 2018/1972 che ha istituito il nuovo Codice Europeo di Comunicazione Elettronica; tra i punti chiave l’implementazione di una cyber security europea con riferimento ai servizi c.d. Over The Top quali Gmail e WhatsApp che rientrano nell’ambito indicato, con particolare riferimento all’obbligo di sottoporsi a controlli periodici.

Le nuove norme aiuteranno a definire i requisiti di sicurezza basilare con particolare attenzione ai problemi di identificazione, autenticazione e privacy.

4. CONCLUSIONI.

Certamente oggi la violazione di uno smartphone è potenzialmente molto più dannosa di quella di un computer.

Piccoli accorgimenti tuttavia possono fare la differenza nella protezione delle nostre chat. La nuova normativa punterà molto sul finanziamento alle attività di prevenzione, piuttosto che al risarcimento dei danni.

L’ENISA si è data tempo due o tre anni per arrivare ad operare a pieno regime con tutti gli Stati membri.

Non ci resta che attendere l’operatività delle nuove norme.