InternetSkype

Hacker hanno creato uno Skype non controllato da Microsoft

Il forum 4chan è conosciuto soprattutto come un luogo per condividere immagini per i giovani e, per usare un eufemismo, politicamente scorrette. Ma è anche il luogo di nascita di uno dei più recenti tentativi di sovvertire il programma di sorveglianza di massa della NSA, la National Security Agency, un organismo governativo degli Stati Uniti d’America che, insieme alla CIA e all’FBI, si occupa della sicurezza nazionale.

Quando l’informatore Edward Snowden ha rivelato il vero scopo delle attività della NSA lo scorso anno, i membri del forum hanno iniziato a parlare della necessità di avere una alternativa a Skypt più sicura. Subito dopo aprirono una chat room per discutere il progetto e creato un account sul sito di code-sharing e collaborazione GitHub, iniziando così il caricamento del codice.

Alla fine hanno scelto il nome Tox, e si possono già scaricare i prototipi dello strumento, sorprendentemente facile da usare. Lo strumento è parte di uno sforzo diffuso per creare strumenti di comunicazione on-line sicuri che non siano controllati, non solo da qualsiasi società, ma dal mondo in generale, una reazione continuata alle rivelazioni di Snowden. Questo include tutto, da strumenti di messaggistica istantanea a servizi di posta elettronica.

E’ troppo presto per contare su Tox per proteggere l’utente da intercettazioni e spie. Come tanti altri nuovi strumenti, è ancora nelle prime fasi di sviluppo e deve ancora ricevere il controllo che altri strumenti di sicurezza, come invece ha il plugin di criptazione di messaggistica istantanea Off The Record. Ma si sforza di ritagliarsi una nicchia unica all’interno dell’ecosistema di comunicazione sicura.

Fino alla vostra fantasia

La cosa principale che la squadra di Tox sta cercando di fare, oltre a fornire la crittografia, è creare uno strumento che non richiede server centrali, nemmeno quelli che hostano voi stessi. Essa si basa sulla stessa tecnologia che utilizza BitTorrent per fornire collegamenti diretti tra gli utenti, quindi non c’è alcun hub centrale a curiosare.

Ci sono altri sviluppatori che cercano di costruire un sistema di messaggistica sicuro peer-to-peer, tra cui Briar e Invisible.im, un progetto co-creato da HD Moore, il creatore del popolare framework di test di sicurezza Metasploit. E ci sono altre applicazioni vocali che mettono al centro la sicurezza, comprese quelle di Whisper Systems e Silent Circle, che crittografano le chiamate effettuate attraverso l’infrastruttura di rete tradizionale. Ma Tox sta cercando di unire peer-to-peer e chiamate vocali in uno.

In realtà, sta andando un po’oltre. Tox è in realtà solo un protocollo per la trasmissione di dati peer-to-peer criptati. “Tox è solo un tunnel a un altro nodo criptato e sicuro,” dice David Löhle, un portavoce del progetto. “Cosa si desidera inviare in quel tubo sta alla vostra immaginazione.” Per esempio, uno sviluppatore sta costruendo un protocollo per sostiture le e-mail, un altro sta costruendo una alternativa open source a BitTorrent Sync.

Il nuovo Skype

Detto questo, la squadra Tox è focalizzata sulla costruzione di caratteristiche specificamente richieste per la costruzione di una sostituzione di Skype. Ci sono almeno 10 diversi client di messaggistica e vocale Tox finora, ognuno sostiene una diversa gamma di funzionalità. Alla fine, Löhle dice che ci saranno clienti “ufficiali” per ogni sistema operativo principale, ma per ora la squadra raccomanda solo alcuni client specifici: μTox, disponibile per Linux e Windows, è il progetto di riferimento, mentre qTox è la raccomandato per gli utenti di OS X e infine Antox è consigliato per Android. Non esiste ancora una versione iOS.

μTox è ancora grezzo, ma l’interfaccia è semplice. Si scarica il client e crea automaticamente una chiave di crittografia pubblica che è possibile fornire a tutti, e una chiave di crittografia privata che si mantiene sul vostro computer o telefono. Da lì, funziona molto simile a Skype. È possibile aggiungere un amico alla lista di contatti incollando la sua chiave pubblica, e poi basta cliccare il nome per inviare un messaggio, oppure fare clic sull’icona grande col telefono per chiamarlo. Se si desidera spostare la vostra identità da un computer a un altro, basta copiare un file singolo che include la chiave e la lista privata dei contatti.

Ci sono ancora alcune caratteristiche che mancano, però. Ad esempio, anche se si può fare una chat testuale di gruppo, non c’è modo di fare una chat vocale di gruppo. E non c’è modo di essere registrato come la stessa persona su due dispositivi diversi – vale a dire il telefono e il computer. Ma Löhle dice che queste caratteristiche stanno arrivando, e la squadra ha già un’idea su come la chat vocale di gruppo funzionerà.

Egli afferma che la squadra non ha intenzione di trasformarlo in una società o di monetizzare in alcun modo. “Nessuno è pagato, ma ci dedichiamo più tempo possibile”, dice. “Se non sono a lavoro o non sto mangiando, sto probabilmente lavorando su Tox, e questa è almeno la stessa cosa per circa 10 persone.” Inoltre, lo sviluppatore principale, conosciuto solo come irungentoo, è completamente anonimo , quindi sarebbe difficile dagli uno stipendio. “Io non credo che nessuno di noi conosca il suo vero nome”, dice Löhle.

Il legame con 4chan

Oggi Löhle minimizza il rapporto tra Tox e 4chan. “Siamo stati autosufficienti dopo solo un paio di settimane,” dice. “Abbiamo anche pubblicato su reddit e Hacker News, e la gente si è unita da questi canali”. Lui probabilmente ha buone ragioni per distanziare il progetto dal sito. Il razzismo, l’omofobia e la misoginia che si vedono ogni giorno su 4chan sarebbero un grande problema sia per gli utenti che per i potenziali collaboratori.

Ma ci sono anche altri problemi: uno sviluppatore di Tox ha sollevato preoccupazioni circa sugli utenti Tox che espongono i loro indirizzi IP a vicenda. La squadra ha risposto mascherando gli indirizzi IP attraverso una tecnologia chiamata onion routing – la stessa tecnica che il Progetto Tor utilizza per proteggere l’anonimato degli utenti sul web. Ma la correzione non ha fermato l’ondata di paranoia sul forum di 4chan, ed è difficile dire se questa preoccupazione è legittima.

Ci possiamo fidare?

Peggio ancora, il progetto ha lasciato la sua pagina Warrant canary offline per una settimana. Una pagina Warrant canary è di solito un sito web che afferma che una società o organizzazione non è servita da un mandato di comparizione segreto dalla NSA o di qualsiasi altra agenzia di legge o di intelligence. E’pensato come un modo per aggirare le leggi che impediscono alle imprese di avvertire i loro clienti che sono stati serviti con una lettera di sicurezza nazionale. Il team Tox secondo un post sul blog ha semplicemente dimenticato di mettere il Warrant canary di nuovo online dopo un cambio di hosting, ma l’incidente ha portato un livello di sospetto comprensibile.

Nel frattempo, alcuni esperti di sicurezza al di fuori del progetto hanno esaminato il codice Tox, ma il progetto si basa su un insieme esistente di librerie di codice per lavorare con algoritmi di crittografia NaCl, che hanno ricevuto molta più attenzione. “NaCl è una libreria piuttosto nuova che è comunque molto apprezzata dalla comunità della sicurezza, è prodotta da persone qualificate”, dice Jacob Hoffman-Andrews, che fa parte della Electronic Frontier Foundation, la quale non ha ancora valutato Tox.

Ma è del tutto possibile inserire buone librerie in cattivi progetti, quindi la squadra Tox sta risparmiando denaro per assumere una ditta di sicurezza professionale per controllare il codice una volta che raggiunge uno stato più stabile. “In questo momento stiamo facendo leva sulla comunità open source”, dice Löhle. “Abbiamo circa 15 persone che hanno studiato il codice per giorni o settimane.”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti