Monthly Archives: January 2014

Alternatives a whatsapp o… què passa amb telegram?

Pretenem fer una aproximació a la polèmica per aquelles persones que NO coneguin ni pretenguin conèixer a fons qüestions de criptografia i seguretat i a qui PGP, GPG, OTR, SHA1, SHA-2,… els soni a xino.

Les premisses

Avui en dia l’ús de Whatsapp és massiu entre els que tenen ‘smartphones’, que en els nostres cercles socials són la majoria. Aquesta app ha transformat la forma de comunicar-se de moltes persones, creant una nova necessitat tal i com ho van fer en el seu moment els telèfons mòbils.

Malgrat tot és una eina molt deficient, que condiciona i limita l’ús que en fem, des de l’acceptació de la seva llicència privativa fins a una interfície que ens indueix unes conductes comunicatives concretes. Molts d’aquests elements són motiu de polèmiques més extenses, així doncs, centrarem-nos en la qüestió de la seguretat i privacitat.

Aquesta és una qüestió que inicialment preocupava només a entorns militants, però cada vegada preocupa a més capes de la població. Whatsapp no garanteix (ni contractualment amb la llicència que acceptem, ni a nivell tècnic) la privacitat de la nostra informació (que no és poca!!) ni de cara a l’empresa, ni de cara a governs i agències governamentals, ni de cara a ningú.

La història no comença amb nosaltres

El problema de la privacitat en aplicacions informàtiques (com les apps mòbils) ha acompanyat la història de la informàtica d’usuari des del seu inici. Entenem que per a aplicacions d’usuari com els xats o la missatgeria instantània (a partir d’ara IM), quan parlem de seguretat ens referim a: que els missatges que enviem a una persona només els pugui rebre aquesta persona, que poguem saber segur que és aquesta persona qui els rebut i no un tercer; i que el missatge rebut és l’original sense cap canvi.

Per resoldre aquest problemes hi ha múltiples formes en aplicacions per PC, totes elles basades en el xifrat de les comunicacions i en el signat de les mateixes. Ambdós mètodes fan servir diverses tècniques criptogràfiques, que asseguren que, si la comunicació és interceptada, no pugui ser llegida ni manipulada. No cal dir dir que aquestes consideracions només te sentit fer-les per programari de codi lliure.

Però en les aplicacions mòbils no és tant senzill. Per un costat per que no hi ha tanta trajectòria de desenvolupament d’aplicacions com per PC. Per l’altre, perquè les característiques de la comunicació canvien, i les tècniques criptogràfiques anteriorment vàlides no es poden aplicar directament i s’han d’adaptar.

…què passa amb telegram?

Darrerament estan sortint diverses aplicacions que podrien ser una alternativa a l’ús de whatsapp, com per exemple les apps de xat basades en jabber o altres paquets de IM, però pocs d’ells ofereixen opcions de seguretat.

Telegram darrerament ha tingut força volada a nivell comunicatiu com a aplicació IM segura, però sembla ser que és vulnerable a un gran nombre de possibles atacs. Comet un error clàssic en la història del desenvolupament del software: reinventa la roda.

L’equip de Telegram desestima anys d’aprenentatges en qüestions de tècniques criptogràfiques i de seguretat, i si bé fa una aportació molt interessant en el món de les app mòbil, esta plena de mancances com demostren els següents enllaços:

En resum, venen a dir que, si bé afegeix capes de seguretat, segueix essent relativament senzill accedir a informació de tercers i manipular comunicacions amb tècniques clàssiques de cracking ja existents. Pertant, si bé és un pas endavant, no podem considerar que la comunicació via Telegram sigui segura i privada.

Malgrat tot, sembla que l’equip de Telegram és receptiu a l’allau de crítiques rebudes i podríem esperar que en els propers mesos replantegessin la seva estratègia a nivell de seguretat.

-Ara, la part constructiva.

Davant tot plegat la qüestió clau és: i què podem fer servir que sigui millor? per què no passar-nos a Telegram si és millor que Whatsapp encara que hagi de millorar?

La resposta és senzilla, entre Telegram i Whatsapp, si no us deixeu confondre per la sensació de falsa seguretat, és clarament millor usar Telegram.

Però la disjuntiva no es presenta només entre aquestes dues aplicacions. La seguretat i privacitat en IM mòbil fa temps que és tractada amb més encert per projectes com TextSecure (https://whispersystems.org/) i chatSecure (https://chatsecure.org/). Amb diferents aproximacions, són aplicacions de IM segures i que usen mètodes provats i contrastats des de fa anys per àmplies comunitats i no han comès l’error de reinventar la roda. Si suscita interès, seria enriquidor fer una comparativa detallada d’aquestes 2 aplicacions.

També caldrà estar atents al projecte Helm.is (https://whispersystems.org/) que encara no està operatiu però que, des d’una tercera proposta d’implementació, també promet poder donar garanties raonables la seguretat i privacitat.

Una prespectiva militant

Per a aquells que militem en els moviments socials els grups de whatsapp de coordinació i treball sòn ja una realitat . Des d’una perspectiva de seguretat personal davant hipotètica repressió, aquesta dinàmica és nefasta. Les nostres dades, dinàmiques de treball i informacions polítiques estan totalment exposades a un requeriment judicial.

Confiar la nostra seguretat militant a una eina tecnològica mai ha estat una bona estratègia, i és que no podem oblidar els consells clàssics en aquest àmbit (http://www.marxists.org/espanol/serge/represion/repres-i.htm).

Fetes aquestes consideracions, en quant a usar eines de IM és clar que Whatsapp no és una alternativa vàlida per cap persona militant i, si bé fer el canvi a Telegram és una millora objectiva, no ens permet assumir que la comunicació és segura. Per contra, textSecure i chatSecure sí que ens ho permeten, sempre dins els límits abans expressats i els propis de la criptografia.

Què passa amb FirefoxOS?

FirefoxOS és la que més aviat que tard serà la plataforma mòbil lliure al que les companyies migraran. Un sistema per a mòbils totalment lliure i sense alguns dels problemes que presenta Android, com buits de seguretat o la majoria de desenvolupament de Google.

La principal alternativa per a FirefoxOS en quant a IM és LoquiIM (https://loqui.im/), que encara es troba en fase prematura de desenvolupament i no té implementada cap capa de seguretat significativa.

Segurament pels usuaris de FirefoxOS la millor opció és buscar clients web de les eines segures ja existents o usar LoquiIM amb consciència de la manca de xifratge.

 

 

Julià Mestieri (Projecte Ictineo SCCL)