Pubblicità
Motherboard

'Ricochet' la app di messaggistica che vince i metadati

Un client di messaggistica che usa i servizi occulti di Tor per cercare di arrivare dove tutte le altre app crittate hanno fallito.

di Joseph Cox
19 febbraio 2016, 11:26am

Foto: Shutterstock

Oggi c'è solo l'imbarazzo della scelta quando si parla di opzioni mobile o desktop per mandare messaggi criptati, ma solo pochissimi degli strumenti a disposizione si preoccupano del problema fondamentale dei metadati. Anche se il contenuto dei vostri messaggi è protetto da occhi indiscreti, può però essere ancora possibile, per chi ha le giuste capacità, risalire alla vostra identità e a quella della persona con cui state parlando.

Di recente, un programma progettato per risolvere questo problema a monte ha superato il primo controllo di sicurezza professionale, mettendosi così sulla strada giusta per aprirsi a un mercato più ampio. Ricochet, che è disponibile per Windows, Mac e Linux, ha annunciato i risultati della verifica lunedì scorso.

Hanno fatto molti commenti positivi sulla qualità del codice e della sicurezza in generale," ha detto a Motherboard John Brooks, curatore del programma, in una chat che usava Ricochet. La verifica è stata condotta dall'azienda di cybersecurity NCC Group, e finanziata dal progetto 'Red Team lab' dell'Open Technology Fund (OTF). A sua volta, l'OTF è finanziato dalle appropriazioni dell'US Congress.

Mark Manning, un consulente senior che lavora per l'ufficio di New York di NCC Group, ha detto a Motherboard per mail che, "Dal report si dovrebbe evincere che, per quanto si possa ancora migliorare, il progetto Ricochet prende sul serio la sicurezza."

"Il concetto dietro Ricochet è: come facciamo a mandare messaggi senza un server di mezzo—senza doverci affidare a qualcun altro per spedire un messaggio ai nostri contatti"

Hanno trovato un elemento di vulnerabilità, che poteva mettere a repentaglio l'anonimato degli utenti, ha detto Brooks, problema risolto nell'ultima versione uscita. Questa vulnerabilità è stata trovata in modo indipendente, in realtà, da un membro della community di Ricochet, dove gli utenti stessi mettono alla prova il codice da tempo. Ricochet, nella sua versione attuale, è in giro dal 2014.

La differenza fondamentale tra Ricochet e gli altri client di messaggistica è l'uso di service nascosti di Tor.

"Il concetto dietro Ricochet è: come facciamo a mandare messaggi senza un server di mezzo—senza doverci affidare a qualcun altro per spedire un messaggio ai nostri contatti?" ha detto Brooks. "Alla fine, è esattamente uno dei problemi che possono essere risolti dai service nascosti: contattare qualcuno, senza che nessun intermediario venga a conoscenza di chi sei o di chi stai contattando."

Con un service nascosto, il traffico di un utente non lascia mai la rete Tor, rendendo più difficile monitorare il traffico.

"Ognuno dei client di Ricochet ospita un service nascosto: con il tuo Ricochet ID ricevi infatti un indirizzo .onion. Chiunque abbia quell'indirizzo può contattarti," ha spiegato Brooks. Ricoshet cripta anche i contenuti dei messaggi, di default.

I ricercatori hanno scoperto il potenziale di Ricochet nel supportare attivisti e altri soggetti a rischio sorveglianza.

"Open Tech Fund supporta le tecnologie nate per proteggere chi difende i diritti umani, i giornalisti, i dissidenti politici e, tra gli altri, coloro che vivono nelle aree più oppressive del mondo," ha detto a Motherboard un portavoce di Radio Free Asia, di cui fa parte Open Tech Fund. "Facciamo ricerca sui progetti legati alla libertà della rete per migliorare la loro sicurezza e affidabilità, cerchiamo le loro vulnerabilità e le segnaliamo."

"Siamo interessati alle tecnologie che compongono il crescente ecosistema di Tor, specialmente a quelle a prova di censura. Ricochet ci è sembrato un tool che coadiuva lo sviluppo dei servizi più occulti di Tor, una tecnologia utilizzata da molti siti—tra cui Facebook—per eludere la censura repressiva, in particolare nei paesi autoritari," ha continuato.

Nonostante il successo, ovviamente, non è necessario che tutti gli utenti che usano programmi crittati per lavori particolarmente sensibili debbano iniziare a usare solo Ricochet.

Sul sito del progetto Brooks invita comunque a stare attenti, "Ricochet è un esperimento. La sicurezza e l'anonimato sono temi difficili, e bisogna che ognuno valuti attentamente i suoi rischi e l'esposizione a qualsiasi software."

A proposito delle ulteriori evoluzioni, Brooks sta cercando i fondi per lo sviluppo di Ricochet stesso e di una funzionalità di file sharing. "Sarà un anno bellissimo" ha detto.