Skip to main content

Enter The Matrix

Questo è un periodo interessante: le vicende che ben conosciamo e seguiamo hanno mostrato che non ci si può fidare di nessuna multinazionale quando ci sono alti interessi in gioco: nella guerra all'informazione, tanto Google quanto Facebook o Twitter, tra i social più usati al mondo, non si sono fatti scrupoli a restringere la visualizzazione di post che parlano di argomenti scomodi (shadowbanning), a vietare del tutto link a siti "non sicuri" (cioè che sicuramente non seguono le linee guida ufficiali) fino a censurare addirittura i tweet di personaggi politici di rilievo internazionale compreso il presidente in carica degli USA: solo un paio d'anni fa una cosa del genere sarebbe parsa inverosimile anche al più ingenuo degli ufficialisti, anche se oggi chiaramente plaude l'iniziativa dimostrando con i fatti come il bipensiero faccia parte della modalità di ragionamento dei più.

Chi si occupa di sistemi distribuiti e dei pericoli della centralizzazione (cioè di utilizzare enti centrali per gestire il flusso delle informazioni) da diversi lustri avverte della problematica, ma tale messaggio cassandrico è sempre stato bellamente ignorato in quanto la strada dell'uso di applicazioni distribuite è lenta ed un poco complessa e non può reggere il confronto della semplicità d'uso delle prigioni dorate che i suddetti social ci offrono, nonché (soprattutto) del loro network effect.

Ora il problema si sta ripresentando in un altra categoria di programmi: quelli di messaggistica, quelli come WhatsApp, per intenderci.

Sebbene esistano da decenni sistemi di messaggistica distribuita che non fanno uso di server centrale (i più antichi sono IRC e Jabber), non sono mai stati presi in considerazione dal grande pubblico perché non possono rivaleggiare con la praticità di WA o Telegram, che per essere pratici ci fanno rinunciare completamente alla nostra privacy: tutto l'elenco dei propri contatti viene passato al gestore che quindi può mettere in contatto facilmente persone che non si sono mai scritte prima, con la controindicazione che allo stesso tempo possono tenere traccia di tutte le comunicazioni che tra loro avvengono.

Chi poco capisce di protocolli, crittografia e concetti correlati come standard aperti e software Open Source fa fatica a valutare la sicurezza dei vari sistemi, e comunque, in ultima analisi, risolve la questione asserendo che "è inutile sbattersi, tanto sanno già tutto di noi".

Non c'è nulla di più vero e falso allo stesso tempo: è vero che sanno tutto di noi, ma è anche vero che è così proprio perché scegliamo volontariamente di utilizzare gli strumenti che consegnano a terzi l'elenco delle nostre attività così come il contenuto delle nostre più intime conversazioni.

D'altra parte sulle varie testate giornalistiche si leggono proclami tipo:

- "Whatsapp offre cifratura end-to-end" quindi sicura per l'utente, senza aggiungere che però il protocollo è chiuso, e che quindi quello è solo uno slogan e nessuno può verificare che sia vero (e questo senza considerare le evidenze del contrario)

- "Signal è sicuro perché protocollo aperto usato anche da Snowden" dimenticando di aggiungere che però richiede l'utilizzo di un cellulare, dove ogni persona è identificata o identificabile, ed ogni comunicazione intercettabile in quanto avviene su di un dispositivo che è compromesso a priori: produttori, enti giudiziari ed agenzie varie possono usare i vostri dispositivi mobili per fare intercettazione ambientale e telefonico anche a dispositivo spento (!).

- "Telegram è sicuro perché gli sviluppatori sono bravissimi, hanno inventato un loro sistema di cifratura e non hanno ceduto nemmeno alle minacce dello stato russo", evitando di ricordare che il servizio stesso dichiara di mantenere lo storico di tutte le conversazioni, di tutti i media trasmessi e di qualunque altro documento condiviso, tra chiunque, per sempre. Se banalmente qualche cracker riuscisse ad accedere ai server di Telegram potrebbe pubblicare lo storico delle conversazioni di tutti i loro utenti, tra chiunque. Mi spingerei a sostenere che Telegram è probabilmente il sistema di spionaggio globale di più grande successo mai sviluppato.

E tutto questo senza considerare proclami che dimostrano esattamente l'opposto di quanto precedentemente comunicato: ad esempio che WhatsApp bloccherà tutti gli utenti ed i messaggi che riterrà pericolosi. Come potrebbe farlo senza intercettare il contenuto di quanto trasmesso?

Esiste una soluzione a quello che è lo Status Quo?

Chiaramente c'è, ma si tratta di informarsi in prima persona ed andare ad utilizzare applicazioni meno blasonate e sofisticate perché non godono degli infiniti finanziamenti che si possono permettere le varie aziende di cui abbiamo parlato finora.

Proviamo quindi a fare un elenco delle caratteristiche che deve avere un programma che supera le problematiche che abbiamo descritto finora:

- deve permetterne l'utilizzo a chiunque, e non limitatamente ad una fascia di utenti con determinate caratteristiche (ad esempio chi possiede un numero cellulare)

- deve utilizzare protocolli aperti in modo che possano essere scrutinati da esperti, e che permettano quindi di essere utilizzati da più programmi, non solo da quello ufficiale

- deve utilizzare protocolli crittografici che non abbiano falle in modo che una persona sufficientemente accorta possa effettuare comunicazioni realmente sicure senza che siano facilmente intercettabili in maniera sistematica

- deve evitare di dipendere dai server di questa o quella azienda: qualunque organizzazione può dover cessare il proprio servizio per i più svariati motivi: per forza maggiore (ad esempio perché la giurisdizione in cui opera glielo impone), perchè fallisce e non ha più le risorse per farlo, perché perde interesse, etc. Questo implica che chiunque deve poter utilizzare i propri server senza dipendere da terzi.

 

Nel tempo diversi gruppi di bravi volenterosi hanno proposto soluzioni che implementavano uno o più dei punti sopraccitati, alcuni con moderato successo (anche se principalmente all'interno di piccoli circoli di addetti ai lavori), ma per i motivi più svariati non c'è mai stata una soluzione che fosse sufficientemente pratica per risolvere tutte le necessità degli utenti più comuni .

Per fortuna però ultimamente sta cominciando a svilupparsi e maturare un nuovo standard che sta promettendo molto bene, e che è già arrivato ad un livello sufficientemente buono da poter essere usato per l'uso quotidiano anche dai non addetti ai lavori.

Lo standard si chiama Matrix ed il programma di riferimento per il suo utilizzo si chiama Element.

Ecco per completezza come affronta le problematiche sopra esposte:

- l'uso è legato esclusivamente all'utilizzo di un software, e quindi svincolato da qualunque necessità di avere un cellulare e tantomeno un numero di telefono

- ogni comunicazione avviene encrypted end-to-end, il che vuol dire che il testo in chiaro non passa mai attraverso la rete, ma soprattutto non è visibile ai server ai quali siamo collegati: questo implica che non c'è bisogno di doversi fidare di lui. Possiamo usare anche un server della NSA ma abbiamo modo (con strumenti che poi affronteremo in un secondo momento) di scoprire se il server cerca di intercettare le nostre comunicazioni

- lo standard di comunicazione è aperto e liberamente utilizzabile da chiunque, è stato sviluppato da persone che hanno un eccellente background crittografico e che pare essere sound.

- l'azienda che sviluppa il software di riferimento (cioè quello di default), rilascia i sorgenti completi sia del client che del server, per cui chiunque può utilizzare il sistema senza chiedere il permesso a nessuno, né tantomeno far sapere a chicchessia del loro uso

- un sofisticato sistema di collegamento inter-server permette di far comunicare tutti gli utenti di tutti i server che di fatto fanno quindi parte di una rete globale senza confini

- esistono versioni del client (il programma che si usa per chattare) per le piattaforme più diffuse: Windows, Mac, Linux, Android, Apple

- qualcuno sta cominciando a sviluppare client e server alternativi a quelli di riferimento per non dipendere più dall'azienda che sta portando avanti l'iniziativa e fornendo i programmi più usati


A questo punto non rimane altro che darvi i vari riferimenti ed in consigli su come utilizzarle il sw che ho descritto.

E'  possibile scaricare le varie versioni del programa a questo indirizzo: https://element.io/get-started

Sono disponibili sia le versioni per PC che per cellulare, ma come spiegato prima, consiglio caldamente di evitare il più possibile i dispositivi mobili ed usare soltanto il PC per le comunicazioni (sopratutto quelle importanti). Possibilmente con sistema operativo Linux.

Esiste anche la possibilità di provare (ed usare) rapidamente il servizio senza scaricare nessun software ma usando direttamente il client su di una pagina web: se l'applicazione è hostata su di un server che non controlliamo è la scelta meno sicura, ma è molto pratica perché è disponibile immediatamente ovunque senza dover installare niente. Per completezza d'informazione: se invece decidessimo di mettere il client web su di un nostro server allora il suo utilizzo diventerebbe sicuro quasi come l'applicazione nativa.

Prima di cominciare ad usare il servizio è necessario decidere su quale server registrarsi: per default infatti si andrebbe ad utilizzare quello di matrix.org (il server degli sviluppatori) ma per diversi motivi conviene utilizzare un server alternativo, e la scelta non manca.

Il nome utente che ci ritroveremo avrà questa forma: @nickname:dominio.estensione .

Il nickname lo scegliamo noi, mentre dominio.estensione dipende dal server che useremo. Se per esempio usassimo il server di default potrei avere un nome utente tipo @alex:matrix.org (non scrivetegli, non sò chi sia smiley).

Ecco tre esempi di come fare a registrare un utente:

- scaricare e lanciare il client ufficiale (o quello accessibile via web), premere il tasto per registrare l'account e scegliere "Free - Matrix.org", inserire il nickname scelto e relativa pw (evitate di inserire email se non volete essere "cercabili" attraverso di essa e dare informazioni inutili al server)

Completata la registrazione il nostro utente sarà del tipo @francesco:matrix.org

- Invece di selezionare la prima opzione, selezionare quella avanzata, ed inserire il nome di un server alternativo, ad esempio:

E sulla schermata successiva inserire il nickname, per esempio:

Completata la registrazione il nostro nome utente sarà @francesco:lkj.it

- Usare un servizio web esterno come https://webchat.kde.org/ gestito dal progetto KDE (Un desktop linux). Alla fine della registrazione il vostro nome utente sarebbe qualcosa tipo @dusty:kde.org


Una volta entrati nel programma per cominciare a chattare con qualcuno è necessario premere il tastino "+" ed inserire l'identificatore di un vostro contatto. A differenza di Whatsapp & C con questo sistema non si "trovano" automaticamente tutti i nostri contatti per il semplice motivo che, a differenza dei programmi appena citati, il server non li conosce.

Se qualcuno volesse provare a contattarmi in questo modo, fornisco il mio ID solo via PM.

(To Be Continued)

Opzioni visualizzazione commenti

Seleziona il tuo modo preferito per visualizzare i commenti e premi "Salva impostazioni" per attivare i cambiamenti.

Progetto interessante

Da semplice appassionato di tecnologia, avevo già sentito parlare di questo protocollo tempo fa e vorrei saperne di più, per cui attendo il resto dell'articolo. 

Spezzo una lancia a favore di Telegram (pur essendo pienamente d'accordo con te) dicendo che la privacy che offre è nei confronti degli altri utenti. Su WA ad esempio quando entri in un gruppo tutti vedono il tuo numero di telefono, un dato sensibilissimo.

Quindi, per chi sta leggendo questo post, non pensiate che quando si parla di Telegram come strumento per la privacy si intenda nei confronti di chissà chi, è solo nei confronti degli altri utenti. Spesso comunque non è poco, i primi spioni e purtroppo a volte anche i primi nemici sono proprio quelli più vicini a noi.

Detto questo, la grande insidia psicologica di Telegram è che spinge le persone a comportamenti diversi nell'illusione di essere in chissà quale luogo sicuro.

Concludo dicendo solo che IRC è un sistema molto sottovalutato anche oggi, secondo me.

Vai avanti cosi'!

Ritratto di Pike Bishop

Anche se come tutti sanno io non ci capisco un accidente, l'esposizione mi e' sembrata coerente.  Ora ci serve solo piu' la parte seconda, ovvero come in pratica scaricarlo e usarlo senza combinare pasticci.

Grazie, come sempre, Dusty!

OH YES

Ritratto di Nemo

Salve Dusty. Per quanto mi riguarda avanti così, da buon vecchio smanettone del pc (oramai più vecchio che smanettone) reputo ciò fondamentale rispetto ai tempi in cui andremo a vivere. In tal senso auspico anche un approfondimento non solo su software e protocolli di rete ecc. ma anche sull'hardware. Banalmente,anche avendo un notebook linux con una distribuzione "sicura", un software per la comunicazione criptato ed una connessione sicura, lì la falla resta l'hardware di rete e cioè il router utilizzato o magari (purtroppo in certe situazioni è inevitabile) il router dello smartphone con cui ci si connette. Comunque appunto avanti così, se potrò poi contribuire ne sarò felice.

Bitcoin

Ritratto di Totalrec

Da sabato c'è un problema, che pare generalizzato, all'accesso ai conti bancari online, nonché al funzionamento dei Bancomat. Magari non è quello che penso io (tendo sempre ad esagerare in pessimismo), però anche qualche dritta aggiornata sull'utilizzo di Bitcoin, da parte di un esperto come Dusty, potrebbe risultare utile a molti (non a me, che non metto mai un centesimo da parte, ma a molti). 

Registrazione Matrix

Ritratto di Dusty

Ho aggiunto al volo il paragrafetto relativo all'importanza delle comunicazioni criptate end-to-end ed un paio di istruzioni su come registrarsi e creare il proprio identificatore matrix. Quando almeno 3 di voi riescono a registrarsi e contattarmi creiamo la chatroom del portico angel

Totalrec ha scritto:

però anche qualche dritta aggiornata sull'utilizzo di Bitcoin, da parte di un esperto come Dusty, potrebbe risultare utile a molti (non a me, che non metto mai un centesimo da parte, ma a molti). 

E' meglio che tu non mi faccia domande su Bitcoin, potresti scatenare un mostro che poi non riesci a fermare più e che ti perseguiterà per il resto della tua esistenza...

Mah...

Che la salvezza digitale arrivi da gente della Cambridge University (dove l'intelligence recluta agenti) mi sembra improbabile.

Se poi questa gente appartiene ad una etnia che è meglio non nominare e lavora gratis per la 'ggente, la cosa diventa inverosimile.

Tant'è che tra i Guardiani (signore, pietà!) compare, ad esempio, tale Shulman che prima lavorava in Google...

Altre considerazioni:
1) l'applicazione non è affatto esente da vulnerabilità di sicurezza (vedasi https://www.matrix.org/security-disclosure-policy/)
2) se si vuole stuzzicare l'interesse degli orchi cattivi ci sono due modi sicuri: usare certi termini nei propri messaggi oppure usare applicazioni "super-sicure-per-sfuggire-al-controllo-dell'elite", ad es. Tor (ideato dall'intelligence...)
3) se per comunicare ci si affida ad un ISP, si possono usare tonnellate di protocolli di cifratura quantica in cascata ma si rimane perfettamente individuabili e alla mercè di chi quei protocolli li ha sviluppati e può quìndi decifrare i nostri messaggi.

Anche sulle valute digitali e blockchain i miti si sprecano. Vanno bene per una speculazione one-shot, come in borsa, ma non rappresentano certo una sicurezza economica (il valore può crollare dalla sera alla mattina) nè tanto meno di anonimità personale o delle operazioni effettuate (blockchain equivale a scrivere sulla pietra). Non a caso, gli istituti bancari sono molto interessati e coinvolti.

In effetti

Ritratto di Nemo

webrasta ha scritto:
Che la salvezza digitale arrivi da gente della Cambridge University (dove l'intelligence recluta agenti) mi sembra improbabile. Se poi questa gente appartiene ad una etnia che è meglio non nominare e lavora gratis per la 'ggente, la cosa diventa inverosimile. Tant'è che tra i Guardiani (signore, pietà!) compare, ad esempio, tale Shulman che prima lavorava in Google... Altre considerazioni: 1) l'applicazione non è affatto esente da vulnerabilità di sicurezza (vedasi https://www.matrix.org/security-disclosure-policy/) 2) se si vuole stuzzicare l'interesse degli orchi cattivi ci sono due modi sicuri: usare certi termini nei propri messaggi oppure usare applicazioni "super-sicure-per-sfuggire-al-controllo-dell'elite", ad es. Tor (ideato dall'intelligence...) 3) se per comunicare ci si affida ad un ISP, si possono usare tonnellate di protocolli di cifratura quantica in cascata ma si rimane perfettamente individuabili e alla mercè di chi quei protocolli li ha sviluppati e può quìndi decifrare i nostri messaggi. Anche sulle valute digitali e blockchain i miti si sprecano. Vanno bene per una speculazione one-shot, come in borsa, ma non rappresentano certo una sicurezza economica (il valore può crollare dalla sera alla mattina) nè tanto meno di anonimità personale o delle operazioni effettuate (blockchain equivale a scrivere sulla pietra). Non a caso, gli istituti bancari sono molto interessati e coinvolti.

 

Considerazioni condivisibili. Ho dato una rapida occhiata al sito, mi propongo di analizzarlo con più attenzione quando ho un po' più di tempo. Se le cose che dice Webrasta sono vere, mi fiderei ben poco (le università sono uno degli ambienti più "inquinati" che ci sia). Per il resto:

1) Un applicazione sicura al 100% non esiste, specie ora che si stanno sviluppando i computer quantici. Tra i vecchi smanettoni (appunto cool) c'è il vecchio detto che "l'unico computer sicuro è un computer spento e con la spina staccata". Una sicurezza informatica relativa deve sempre partire dal presupposto della relazione "sicurezza dell'utente/pericolosità dell'utente per il "sistema"". Se la sicurezza dell'utente è alta e la sua pericolosità non è altissima si può essere relativamente tranquilli. Se la pericolosità invece è alta la sicurezza assoluta non esiste.

2) Circa l'interesse degli orchi cattivi, oltre ad una sicurezza il più alta possibile (ma non assoluta come dicevo) si può utilizzare altri termini e parlare per metafore o "storie" (come ho fatto io per parlare dell'affare MM/Gino). Così si evitano molto le ricerche dei supercomputer basate sulle "parole chiave", dato che i computer sono potenti ma sono stupidi (non so ancora per quanto dato lo sviluppo dell'AI). Purtroppo anche questo non protegge del tutto da "utenze umane" che magari sono messe online a dare una occhiata a ciò che si può scrivere: le utenze umane stesse le metafore e le storie le possono capire e quindi "segnalare" quella specifica persona...Altro discorso sono purtroppo le ricerche basate sui metadati, dove purtroppo contano le connessioni e le relazioni e lì la sicurezza informatica è ancora più importante.

3) Qualsiasi valuta e direi qualsiasi cosa quotata in Borsa è da evitare come la peste, anche se condivido al 100% l'importanza generale della decentralizzazione rispetto all'accentramento (che sia un accentramento politico, economico o qualsiasi altra cosa). E' vero che le banche sono moooolto interessate alla valuta digitale, il che pone fortissimi dubbi. Purtroppo più vado avanti e più penso che l'unica valuta affidabile e vera sia lo scambio di aiuto tra persone che si conoscono ed a cui prema la reciproca esistenza. 

Princìpi semplici, risultati sofisticati

Nemo, le tue considerazioni mi sono ben chiare da tempo. Ecco perchè mi sono permesso di dire che non vale la pena faticare a trovare un'applicazione che nasconda ad occhi indiscreti le tue conversazioni se poi la usi per batterla alla moglie del tuo amico o per organizzare una "grigliata clandestina" con il tuo amico (e sua moglie..). Se invece pensi di usarla per gestire un gruppo carbonaro, beh.. auguri.

Vedi, secondo me l'idea geniale che avrebbe potuto fare molto male al sistema l'ha già avuta qualcuno tempo fa: si chiamava Napster. Non vorremo davvero credere che il programma fu criminalizzato e soppresso a seguito delle proteste di qualche gruppo rock che frignava per i mancati diritti d'autore, vero?
Il fatto è che dopo un po' ai piani alti iniziarono a rendersi conto che Napster, opportunamente migliorato, avrebbe potuto diventare una minaccia incontenibile: era un vero sistema di comunicazione peer-to-peer (decentralizzazione perfetta, resilienza perfetta) che nell'ultima fase veniva già utilizzato per diffondere, oltre agli album dei Metallica, anche documenti, libri, manuali, immagini, senza il minimo controllo delle autorità.
Se il programma si fosse evoluto con l'implementazione di un protocollo di cifratura robusto, magari uno che cambiasse chiavi e/o algoritmo ad ogni hop (ad es. basandosi sul mac address del nodo di passaggio), hai voglia smanettare per decifrare il contenuto.
Infatti, questo concetto con diverse varianti è ciò che sta alla base dei sistemi di comunicazione sicura più sofisticati, ad es. quelli in cui la frequenza di trasmissione varia continuamente.

p.s. naturalmente, i nostri commenti non sminuiscono il merito ed il valore di persone come Dusty che cercano di migliorare la vita delle persone. per quanto mi riguarda, chapeau!

In toto

Ritratto di Nemo

Ciao webrasta, condivido in todo, ovviamente anche l'ultima parte relativa ai meriti di Dusty. Niente altro da aggiungere, la considerazione su un sistema veramente decentralizzato e peer-to-peer che cambia i dati di cifratura ad ogni passaggio sarebbe la cosa ottimale. Mi viene d dire che forse non sarà un caso che oramai anche i video i film la musica vengono fruiti dalla maggior parte delle persone non tramite il peer to peer ma tramite siti di streaming e di hosting quindi tramite server dedicati a cui si deve per forza accedere (e si deve essere online ovviamente). Infatti è da tempo che predico il valore dell "offline" e il disvalore della "nuvola". Meglio un buon vecchio HD in raid.

Offline per un po'

Ritratto di Dusty

Scusate, devo rimanere assente ancora per un po', poi risponderò a tutti i commenti ed alle varie critiche.