In questo articolo vi mostrerò, con un viaggio spazio-temporale, perché Telegram con le sue peculiarità in ambito di sicurezza informatica, sta guadagnando un importante quantitativo di utenti inserendosi prepotentemente tra i big dell’Instant Messaging
Il retroscena
Sin dalla diffusione dei primi smartphone sono sempre stato attratto dai client di Instant Messaging alternativi a WhatsApp, un po’ per il mio interesse verso il free-ware e la cultura open-source, un po’ per il fastidio di dover pagare per avere un servizio di messaggistica indipendente dalle compagnie telefoniche ( a quei tempi le promozioni mobile avevano tariffe profondamente diverse da quelle di oggi ed offrivano un numero limitato di sms per non parlare del traffico).
Alcuni hanno tentato l’impresa di gareggiare col colosso ma spesso han dovuto gettare la spugna; mi trovavo infatti ad avere io un client estremamente innovativo ma nessuno con cui chattare a causa dell’immobilismo informatico: il terrore di far esplodere il proprio device in caso di cambiamenti somatizzato con l’impossibilità nell’approccio ad una nuova tecnologia.
La svolta
Nel 2013 però avviene l’impensabile: venne pubblicato Telegram, l’ennesimo client di Instant Messaging. Telegram, come gli altri pionieri però, correva il rischio di fare la fine dei suoi colleghi: ricevette infatti alcuni download da utenti selezionati ma non fece il boom come si era previsto. Perché ve ne sto parlando allora? Si dà il caso che al suo interno, Telegram, contenga un piccolo script che notifica ogniqualvolta un tuo contatto telefonico si iscrive e scarica l’app.Fine marketing ma molto efficace. La percezione che si possa corrispondere con sempre più contatti aumenta ad ogni notifica push che riceviamo da Telegram. Sia stato per un piccolo down dei server della concorrenza, sia un pizzico di fortuna, secondo un tweet del 28 Marzo 2019 di uno dei creatori di Telegram, Pavel Durov, essa registrò una crescita del 700k utenti al giorno (ah, ecco perché ho ricevuto tutte ste notifiche) e un monthly average usage di 200M di persone…
This week, over 700,000 new users are signing up for Telegram each day. The annual user growth of Telegram surpassed 70% YoY in most markets.
— Pavel Durov (@durov) March 28, 2018
I used the 200M opportunity last week to write about what Telegram stands for. https://t.co/plQsq4uhAQ
Il perché
Cos’è allora che ha permesso tutto questo? È stata solo perché per una settimana non potevamo chattare su WhatsApp, FB e Ig oppure era solo il pretesto per aprire gli occhi?
Ebbene sì, cari lettori, Telegram aveva bisogno solo di una piccola spinta perché, il suo inserimento nel mercato e nei nostri smartphone verteva su un tema molto caro alla maggior parte degli internauti: in un mondo dove i ladri e i truffatori, anziché far squillare il campanello di casa, ti fanno vibrare il cellulare, l’aspetto della sicurezza informatica diventa fondamentale e le persone hanno sempre più la necessità di sentirsi protette visto che molti di noi nel proprio terminale mantengono documenti, credenziali di sistemi di pagamento e anche informazioni riservate (e.g. la propria posizione o i propri interessi). Vediamo allora come Telegram mette sotto chiave la nostra privacy facendoci stare più tranquilli.
La tecnologia
I punti forti della sicurezza di Telegram si manifestano nelle seguenti forme:
- Un protocollo per la comunicazione fra i client e i server, “Mtproto”
- Un protocollo crittografico per le comunicazioni End2End impiegato nelle chat segrete
- Un altro come il precedente ma orientato alle chiamate segrete
La cosa che hanno in comune tutti e tre è che crittano la comunicazione con chiavi scambiate con la tecnica Diffie-Hellman (un potente strumento che permette l’invio in sicurezza di una chiave per cifrare i messaggi spediti fra i soggetti che comunicano su un canale condiviso) inventato in formato embrionale nel lontano 1976. La peculiarità di questo metodo risiede nella possibilità di effettuare questo scambio in un canale non sicuro e perciò ascoltabile da tutti. Difatti Diffie-Hellman non è infallibile: se qualcuno intercettasse le comunicazioni fra i nostri terminali ( e non è così infrequente come si può pensare) potrebbe riuscire a scoprire la nostra chiave condivisa. La cosa interessante è che per farlo, il nostro “sniffer” (colui/ciò che sniffa i nostri pacchetti dati) impiegherà settimane, mesi o addirittura anni solamente per scoprire la chiave, in base alla dimensione della stessa. Questo perché Diffie-Hellman utilizza calcoli esponenziali e resti della divisione con numeri primi estremamente grandi e gli algoritmi per la fattorizzazione di questi sono estremamente complessi e oggetto di ricerche da anni da parte delle maggiori istituzioni matematiche. Perciò, come nella maggior parte delle tecnologie riguardanti la sicurezza informatica, la forzatura delle stesse non è impossibile ma estremamente improbabile. In ogni caso, ogni 100 messaggi o dopo una settimana, questa chiave viene distrutta e non è più utilizzabile nella comunicazione fra gli interlocutori.
Due diverse funzioni di “hashing”, che associano un messaggio ad un identikit dello stesso (non riconducibile al messaggio originale se non conoscendo la chiave di cui sopra), producono due diverse sequenze di bit: una serie di messaggi alterati che vengono poi organizzati in matrici a blocchi (divisioni a lunghezza fissa di bit), mescolate di righe e permutate tramite prodotti identici secondo una chiave (opzionalmente) prefissata dall’utente ma criptata con la seconda funzione.
Questa è in sostanza la dinamica con cui la nostra app Telegram invia in sicurezza i nostri messaggi ai server ufficiali che a loro volta lo inoltreranno con le stesse modalità ai destinatari.
Ultimo fattore ma non meno importante è che possiamo chattare con altri utenti utilizzando lo username Telegram evitando così la condivisione del personale e preziosissimo (in ambito di telemarketing) numero di telefono.
End2End
Ma quando parliamo di End2End di cosa stiamo parlando? In parole povere, per End2End intendiamo la comunicazione diretta da terminale a terminale. Sostanzialmente saltiamo un passaggio fondamentale ovvero la “sosta” dei nostri messaggi all’interno server! Ed è proprio questo che accade nelle nostre chat segrete e nelle nostre call: i nostri dati non passano per i server Telegram che si limita ad occuparsi dell’avvio della connessione crittografata lasciando che i due terminali creino un canale ad-hoc. Proprio per questo motivo, le chat segrete sono conservate esclusivamente nel terminale che le ha avviate e nel terminale del destinatario che le hanno accettate perciò non vi è modo di recuperarle dal server Telegram.
La lezione
Questa storia che vi ho raccontato mi porta a delle semplici ma importantissime conclusioni che spero restino anche a voi:
- Anche se non c’è una particolare richiesta rispetto ad un particolare prodotto, esaltandone alcune particolari caratteristiche o contestualizzandole in maniera differente si può riuscire ad avere un’impronta sul mercato o quantomeno stimolare un particolare interesse rispetto alle stesse ( Quanti prodotti sono riusciti a fare il boom solo cambiando campagna marketing quando prima erano considerati di nicchia? Quanti side project sono stati assorbiti dai principali concorrenti solo per inglobarne le features?)
- C’è una coperta corta nel mondo del web contesa fra “liberismo funzionale” e vulnerabilità che ne derivano: oggigiorno una quantità crescente di dati personali viaggia sulla rete a causa della richiesta di nuovi servizi; contemporaneamente c’è la necessità di offrire maggiore sicurezza agli utenti che frequentemente concedono alle piattaforme e a terzi la possibilità di usufruire degli stessi per varie finalità più o meno discutibili;
Per quanto possiamo dire oggi, Telegram ha cavalcato la cresta di quest’onda e sta godendo di un continuo incremento di utenti soddisfatti combattendo nel mondo dell’Instant Messaging contro un Golia delle dimensioni di WhatsApp:
“Se ho visto più lontano, ho potuto farlo sulle spalle dei giganti” – Isaac Newton