Cybersecurity 101: come scegliere e usare un’app di messaggistica criptata

Image Credits: Getty Images

La messaggistica testuale esiste fin dagli albori della tecnologia cellulare, e ha scatenato un proprio linguaggio unico. Ma è arrivato il momento di mandare in pensione i normali messaggi SMS.

Se hai un iPhone, sei già sulla buona strada. Gli iPhone (così come gli iPad e i Mac) usano iMessage per inviare messaggi tra i dispositivi Apple. Si tratta di un sistema di messaggistica basato sui dati che si basa su 3G, 4G e Wi-Fi, piuttosto che sulla messaggistica SMS, che utilizza una vecchia, obsoleta ma universale rete cellulare 2G. iMessage è cresciuto in popolarità, ma ha lasciato i dispositivi Android e altri computer al buio.

Ecco dove altri servizi di messaggistica hanno riempito un vuoto nel mercato.

App come Signal, WhatsApp, Wire e Wickr sono anche basati sui dati e funzionano su tutte le piattaforme. La cosa migliore è che sono crittografati end-to-end, il che significa che i messaggi inviati sono criptati da un lato della conversazione – il dispositivo – e decodificati dall’altro lato sul dispositivo del destinatario. Questo rende quasi impossibile per chiunque – anche per il creatore dell’app – vedere ciò che viene detto.

Molte app popolari, come Instagram, Skype, Slack e Snapchat non offrono affatto la crittografia end-to-end. Facebook Messenger ha l’opzione di usare la messaggistica criptata end-to-end “segreta”, ma non è abilitata di default.

Ecco cosa devi sapere.

Perché odiare la messaggistica SMS?

SMS, o servizio di messaggistica breve, ha più di tre decenni. È generalmente affidabile, ma è obsoleto, arcaico e costoso. Ci sono anche diverse ragioni per cui la messaggistica SMS è insicura.

I messaggi SMS non sono criptati, il che significa che il contenuto di ogni messaggio di testo è visibile agli operatori mobili e ai governi, e può anche essere intercettato da hacker organizzati e semi-esperti. Questo significa che anche se stai usando SMS per proteggere i tuoi account online usando l’autenticazione a due fattori, i tuoi codici possono essere rubati. Altrettanto male, i messaggi SMS perdono metadati, che sono informazioni sul messaggio ma non il contenuto del messaggio stesso, come il numero di telefono del mittente e del destinatario, che può identificare le persone coinvolte nella conversazione.

I messaggi SMS possono anche essere spoofati, il che significa che non si può mai essere completamente sicuri che un messaggio SMS provenga da una particolare persona.

E una recente sentenza della Federal Communications Commission ora dà ai vettori cellulari maggiori poteri per bloccare i messaggi SMS. La FCC ha detto che ridurrà lo spam SMS, ma molti si preoccupano che potrebbe essere usato per soffocare la libertà di parola.

In tutti questi casi, la risposta è un’app di messaggistica criptata.

Quali sono le migliori app di messaggistica criptata?

La risposta semplice è Signal, un’app di messaggistica crittografata end-to-end open source, vista come il gold standard dei servizi di messaggistica sicura per i consumatori.

Signal supporta e cripta tutti i tuoi messaggi, chiamate e video chat con altri utenti Signal. Alcuni dei più intelligenti professionisti della sicurezza ed esperti di crittografia del mondo hanno esaminato e verificato il suo codice, e si fidano della sua sicurezza. L’app utilizza il tuo numero di cellulare come punto di contatto – cosa che alcuni hanno criticato, ma è facile impostare l’app con un numero di telefono dedicato senza perdere il proprio numero di cellulare. A parte il tuo numero di telefono, l’app è costruita da zero per raccogliere meno metadati possibili.

Una recente richiesta del governo per i dati di Signal ha dimostrato che il produttore dell’app non ha quasi nulla da consegnare. Non solo i messaggi sono criptati, ma ogni persona nella conversazione può impostare la scadenza dei messaggi – in modo che anche se un dispositivo è compromesso, i messaggi possono essere impostati per scomparire già. È anche possibile aggiungere una schermata di blocco separata sull’app per una maggiore sicurezza. E l’app continua a diventare sempre più forte. Recentemente, Signal ha lanciato una nuova funzione che maschera il numero di telefono del mittente di un messaggio, rendendolo migliore per l’anonimato del mittente.

Ma in realtà, c’è una risposta molto più sfumata di “solo Signal.”

Ognuno ha esigenze, desideri e requisiti diversi. A seconda di chi sei, qual è il tuo lavoro e con chi parli determinerà quale app di messaggistica criptata è meglio per te.

Signal può essere l’app preferita per i lavori ad alto rischio – come il giornalismo, l’attivismo e i lavoratori governativi. Molti troveranno che WhatsApp, per esempio, è abbastanza buono per la stragrande maggioranza che vogliono solo parlare con i loro amici e familiari senza preoccuparsi che qualcuno legga i loro messaggi.

Potreste aver sentito alcune cose disinformate su WhatsApp negli ultimi anni, innescate in gran parte da rapporti errati e fuorvianti che sostenevano che ci fosse una “backdoor” per consentire a terzi di leggere i messaggi. Queste affermazioni erano prive di fondamento. WhatsApp raccoglie alcuni dati sui suoi 1,5 miliardi di utenti, come metadati su chi sta contattando chi e quando. Quei dati possono essere consegnati alla polizia se questa ne fa richiesta con un ordine legale valido. Ma i messaggi non possono essere letti perché sono criptati end-to-end. WhatsApp non può consegnare quei messaggi anche se volesse.

Anche se molti non si rendono conto che WhatsApp è di proprietà di Facebook, che ha affrontato una serie di scandali sulla sicurezza e la privacy nell’ultimo anno, Facebook ha detto che si è impegnata a mantenere i messaggi WhatsApp crittografati end-to-end per impostazione predefinita. Detto questo, è possibile che Facebook possa cambiare idea in futuro, hanno detto i ricercatori di sicurezza. È giusto rimanere cauti, ma WhatsApp è ancora meglio usarlo per inviare messaggi criptati che non usarlo affatto.

Il miglior consiglio è quello di non scrivere e inviare mai qualcosa anche su un’app di messaggistica criptata end-to-end che non si vorrebbe far apparire in un’aula di tribunale – non si sa mai!

Wire è anche apprezzato da molti che hanno fiducia nell’app open-source multipiattaforma per condividere chat di gruppo e chiamate. L’app non richiede un numero di telefono, optando invece per i nomi utente, che molti che vogliono un maggiore anonimato trovano più attraente delle app alternative. Wire ha anche sostenuto le sue affermazioni di crittografia end-to-end chiedendo ai ricercatori di condurre una verifica esterna della sua crittografia, ma gli utenti dovrebbero essere consapevoli che un compromesso per l’utilizzo dell’applicazione su altri dispositivi significa che l’applicazione mantiene un record di tutti coloro che hanno mai contattato in chiaro.

iMessage è anche crittografato end-to-end e viene utilizzato da milioni di persone in tutto il mondo che probabilmente non si rendono nemmeno conto che i loro messaggi sono crittografati.

Altre app dovrebbero essere trattate con cura o evitate del tutto.

App come Telegram sono state criticate dagli esperti per la sua crittografia soggetta a errori, che è stata descritta come “essere pugnalata in un occhio con una forchetta”. E i ricercatori hanno scoperto che applicazioni come Confide, un tempo una delle preferite tra i membri dello staff della Casa Bianca, non criptano correttamente i messaggi, rendendo facile per i creatori dell’app origliare segretamente la conversazione di qualcuno.

Come verificare l’identità di qualcuno

Una domanda centrale nella messaggistica criptata end-to-end è: come faccio a sapere che una persona è chi dice di essere?

Ogni app di messaggistica criptata end-to-end gestisce l’identità di un utente in modo diverso. Signal lo chiama “numero di sicurezza” e WhatsApp lo chiama “codice di sicurezza”. In generale, è ciò che chiamiamo “verifica della chiave”.

Ogni utente ha la sua “impronta digitale” unica, associata al suo nome utente, al numero di telefono o al suo dispositivo. Di solito è una stringa di lettere e numeri. Il modo più semplice per verificare l’impronta digitale di qualcuno è farlo di persona. È semplice: entrambi tirate fuori i vostri telefoni, aprite una conversazione sulla vostra app di messaggistica criptata preferita e vi assicurate che le impronte digitali sui due set di dispositivi siano esattamente le stesse. Di solito poi si preme un pulsante “verifica” – ed è tutto.

Verificare l’impronta digitale di un contatto a distanza o su internet è più difficile. Spesso è necessario condividere la propria impronta digitale (o uno screenshot) su un altro canale – come un messaggio su Twitter, Facebook o e-mail – e assicurarsi che corrispondano. (Micah Lee di The Intercept ha una semplice spiegazione di come verificare un’identità.)

Una volta verificata l’identità di qualcuno, non avrà bisogno di essere riverificato.

Se la tua app ti avverte che l’impronta digitale di un destinatario è cambiata, potrebbe essere un motivo innocuo – potrebbe avere un nuovo numero di telefono, o inviato un messaggio da un nuovo dispositivo. Ma potrebbe anche significare che qualcuno sta cercando di impersonare l’altra persona nella vostra conversazione. Avreste ragione di essere cauti e provare a riverificare di nuovo la loro identità.

Alcune applicazioni non si preoccupano affatto di verificare l’identità di un utente. Per esempio, non c’è modo di sapere che qualcuno non stia segretamente curiosando nelle tue conversazioni di iMessage perché Apple non ti notifica se qualcuno sta segretamente monitorando la tua conversazione o non ha in qualche modo sostituito un destinatario del messaggio con un’altra persona.

Puoi leggere di più su come Signal, WhatsApp, Telegram e Wire ti permettono di verificare le tue chiavi e ti avvisano dei cambiamenti di chiave. (Attenzione allo spoiler: Signal è la scelta più sicura.)

Ci sono altri consigli che dovresti conoscere:

I backup dei messaggi criptati di solito non sono criptati nel cloud: Un punto molto importante qui – spesso, i tuoi messaggi criptati non sono criptati quando vengono eseguiti il backup nel cloud. Questo significa che il governo può chiedere al tuo fornitore di cloud – come Apple o Google – di recuperare e consegnare i tuoi messaggi crittografati dai suoi server. Non dovresti fare il backup dei tuoi messaggi sul cloud se questo è un problema.

Attenzione alle applicazioni desktop: Uno dei vantaggi di molte app di messaggistica criptata è che sono disponibili su una moltitudine di piattaforme, dispositivi e sistemi operativi. Molti offrono anche versioni desktop per rispondere più velocemente. Ma negli ultimi anni, la maggior parte delle principali vulnerabilità sono state nel software desktop buggato. Assicurati di essere in cima agli aggiornamenti delle app. Se un aggiornamento richiede di riavviare l’app o il computer, dovresti farlo subito.

Imposta la scadenza dei tuoi messaggi: La crittografia non è una magia; richiede consapevolezza e considerazione. La messaggistica crittografata end-to-end non ti salverà se il tuo telefono viene compromesso o rubato e il suo contenuto può essere accessibile. Dovresti considerare fortemente di impostare un timer di scadenza sulle tue conversazioni per assicurarti che i messaggi più vecchi vengano cancellati e scompaiano.

Tenere le tue app aggiornate: Uno dei modi migliori per assicurarsi di rimanere sicuri (e ottenere nuove funzionalità!) è quello di assicurarsi che le vostre applicazioni desktop e mobili siano aggiornate. I bug di sicurezza vengono trovati spesso, ma non sempre se ne sente parlare. Tenere le tue app aggiornate è il modo migliore per assicurarti di ricevere quelle correzioni di sicurezza il prima possibile, abbassando il rischio che i tuoi messaggi possano essere intercettati o rubati.