Indice dei Contenuti
700 milioni di utenti utilizzano Telegram ogni mese, di cui circa 55 milioni attivi quotidianamente. Il servizio di messaggistica Russo ha preso piede in particolare a discapito di WhatsApp e le relative campagne mediatiche rivolte verso i problemi di privacy della nota app di messaggistica.
Find more statistics at Statista
A proposito di WhatsApp: WhatsApp: Come abilitare l’autenticazione a due fattori
Telegram è stato ideato da Pavel Durov di origine russa, il 122° uomo più ricco del pianeta, il cui sviluppo e relativa sede legale si trova ora a Dubai, negli Emirati Arabi.
Per chi non lo sapesse, è stato anche il fondatore di VK, il social network utilizzato particolarmente nei paesi Russi che, almeno inizialmente, si ispirava a Facebook.
Ma il nocciolo della questione, che intendiamo approfondire (almeno in parte) è:
Telegram ha reso noto le caratteristiche tecniche della sua piattaforma, come indicato qui e riportato di seguito:
All Telegram apps ensure that msg_key is equal to SHA-256 of a fragment of the auth_key concatenated with the decrypted message (including 12…1024 bytes of random padding). It is important that the plaintext always contains message length, server salt, session_id and other data not known to the attacker.
It is crucial that AES decryption keys depend both on msg_key, and on auth_key, known only to the parties involved in the exchange.
Cosa significa esattamente? Che la crittografia utilizzata è basata sulla 2048 RSA, 256 bit AES simmetrica con tecnica di scambio chiavi sicura metodo “Diffie–Hellman“.
Il principio di funzionamento viene spiegato, direttamente da Telegram, in questo modo:
Prima che un messaggio (o un messaggio in più parti) venga trasmesso su una rete utilizzando un protocollo di trasporto, viene crittografato in un certo modo e viene aggiunta un’intestazione esterna nella parte superiore del messaggio che consiste in un identificatore di chiave a 64 bit auth_key_id (che identifica in modo univoco una chiave di autorizzazione per il server e l’utente) e una chiave di messaggio a 128 bit msg_key.
La chiave di autorizzazione auth_key combinata con la chiave del messaggio msg_key definisce un aes_key a 256 bit e un vettore di inizializzazione a 256 bit aes_iv, che vengono utilizzati per crittografare il messaggio utilizzando la crittografia AES-256 in modalità IGE (Infinite Garble Extension). Si noti che la parte iniziale del messaggio da crittografare contiene dati variabili (sessione, ID messaggio, numero di sequenza, server) che ovviamente influenzano la chiave del messaggio (e quindi la chiave AES e iv). In MTProto 2.0, la chiave del messaggio è definita come i 128 bit centrali dell’SHA-256 del corpo del messaggio (inclusi sessione, ID messaggio, riempimento, ecc.) preceduti da 32 byte presi dalla chiave di autorizzazione. Nel vecchio MTProto 1.0, la chiave del messaggio veniva calcolata come i 128 bit inferiori di SHA-1 del corpo del messaggio, esclusi i byte di riempimento.
I messaggi in più parti vengono crittografati come un singolo messaggio. Qui una descrizione maggiormente dettagliata.
Il tutto si può riassumere, cercando di semplificare, in tre macro-livelli, il primo che quello di alto livello si occupa di gestire le richieste/risposte tramite API per trasformarli in codice binario. Il secondo è il livello crittografico che definisce quali sono i messaggi da criptare e da inviare al terzo livello, quello di trasporto che definirà il metodo usato per recapitare il messaggio all’utente usando i protocolli di rete HTTP, HTTPS, UDP, TCP ecc.
Ma il problema non è il suo funzionamento, bensì come è stato scritto e testato, ma questo lo vedremo fra poco.
Queste ultime si possono ritenere sicure per il funzionamento che seguono: infatti solo il mittente ed il destinatario possono leggere i messaggi, nemmeno lo staff di Telegram è in grado di recuperarne il contenuto.
I messaggi inviati in una chat segreta non possono esser inoltrati e i media condivisi si auto-distruggeranno dopo un determinato periodo di tempo. Se uno eliminerà la chat questa verrà cancellata anche dal destinatario.
Questo significa che questo tipo di chat viene salvata esclusivamente sul dispositivo, escludendo di fatto il cloud. Sarà quindi al sicuro fino a che il dispositivo sarà nelle nostre mani.
Solo questo tipo di chat, in Telegram, utilizza la crittografia END TO END.
Ci sono alcune informazioni che è bene sapere visto che la Sicurezza e la Privacy (con relativa gestione dei dati) sono due cose diverse.
Per la policy di prevenzione SPAM e abusi Telegram mantiene per 12 mesi i dati degli utenti che comprendono indirizzo IP, dettagli del dispositivo usato, cronologia delle modifiche nome utente ed altri dati. I moderatori stessi di Telegram, in caso di segnalazione messaggi SPAM o simili sono autorizzati a leggere i messaggi, a meno che non siano in chat segrete.
Ultimo aspetto è quello di elaborare i metadati per offrire all’utente un esperienza personalizzata in base ai contatti più utilizzati o canali più frequentati.
Nulla di eclatante, certo, ma la finestra temporale di 12 mesi espone i dati a possibili data breach di terze parti, come anche richieste da parte di governi o simili.
A leggere le FAQ ufficiali sembra che sia altissima l’asticella della sicurezza, ma non è tutto oro quello che luccica. Infatti ci sono alcune criticità emerse anche da professionisti del settore.
Ad esempio, l’utilizzo di algoritmi di crittografati “fatti in casa” non autorizzati ed ampiamente criticati dagli addetti al settore, il fatto che la crittografia E2E (END TO END) non sia applicata di default alle chat e ai media. WhatsApp utilizza la crittografia END TO END di default ed opera entro il protocollo SIGNAL, approvato e testato approfonditamente nel settore, cosa che invece NON viene applicata da Telegram se non solo nelle chat segrete.
Oltre a questo, in passato ci sono stati diversi breach di sicurezza che hanno colpito Telegram, alcuni database sono stati esfiltrati con i dati di milioni di utenti.
Ma, in aggiunta, ci sono altri aspetti da considerare, visto che spesso e volentieri dentro Telegram è molto facile trovare contenuti illeciti come canali dedicati all’hacking, alla pirateria, pornografia e molto altro.
Per il fatto relativo il processo d’iscrizione che richiede solo il numero di telefono, il quale è oscurato agli altri utenti e visibile solo alla piattaforma per motivi di verifica. La creazione di canali o simili non abbisogna di alcuna registrazione di server, domini ecc. ed è sicuramente più accessibile rispetto al dark web, un modo per raggiungere più persone possibili.
Tramite questa piattaforma è veramente possibile accedere a DUMP di file trafugati contenenti i dati di milioni di utenti e Telegram in realtà sta facendo poco o nulla per combattere questo fenomeno illegale.
Anche la cancellazione dei canali non è una soluzione, visto che vengono facilmente ricreati successivamente. Sarebbe da rivalutare tutto il funzionamento della piattaforma, cosa che attualmente è impensabile.
Per questo motivo è necessario prestare attenzione a come utilizziamo questa app, ai dati che inviamo attraverso di essa ed ai canali che accediamo, segnalando prontamente quelli con contenuti dannosi o illeciti.
Approfondimenti e fonti per alcune informazioni:
Cybercrime on Telegram: Hackers abuse the messenger
Is Telegram Secure? What You Need to Know Before Downloading the App