I social network sono considerati strumenti di primo piano nell’organizzazione e nella gestione delle proteste di massa, come quelle delle scorse settimane a Hong Kong. Il problema, spesso sottovalutato, però è che questi strumenti aprono anche una nuova era nella repressione delle proteste di massa.
Con quali modalità e strumenti lo vediamo di seguito, cercando di esaminare i punti deboli delle app di messaggistica più utilizzate.
Le proteste di Hong Kong
Come era facilmente prevedibile, anche le proteste delle scorse settimane ad Hong Kong hanno visto un ampio uso da parte dei manifestanti non solo dei social media tradizionali, ma anche delle applicazioni di messaging, per coordinare le proteste, per condividere immagini, per diffondere informazioni.
Sottolineo “come era facilmente prevedibile”. Viviamo nell’epoca in cui la maggior parte di noi usa questi strumenti per comunicare quotidianamente, e se una protesta delle dimensioni e dell’importanza di quella di Hong Kong nasce, è assolutamente ovvio e naturale che vengano utilizzati gli strumenti di comunicazione utilizzati in tutti gli altri contesti. Semmai in queste occasioni abbiamo modo di toccare con mano quanto l’Est sia tecnologicamente avanzato su vasta scala.
Messaging e democrazia
Noi siamo abituati a pensare ad un contesto politico sostanzialmente democratico, in cui è possibile avere lo smartphone che vuoi, installarci le app che vuoi ed utilizzarle come vuoi. Questo è sostanzialmente anche il contesto di Hong Kong: qui vige una specie di democrazia politica limitata, ma è in vigore un regime multipartitico e vi è una magistratura indipendente che segue il principio delle common law britannica. In altri contesti, non vi è nemmeno la possibilità di installare o utilizzare queste app, perché sono bandite dal paese o la comunicazione viene controllata e bloccata dai firewall che controllano le comunicazioni nel paese. Provate ad esempio ad organizzare una protesta in Cina utilizzando WeChat, e poi ne riparliamo.
Dico che l’utilizzo di queste app apre anche una nuova era nella repressione delle proteste di massa perché ad esempio una delle più popolari app utilizzata dai manifestanti (e cioè Telegram, che ha l’opzione di inviare messaggi cifrati che si autocancellano dopo un tempo prefissato, e che possiede i “Canali” – vagamente simili ai gruppi WhatsApp ma che non divulgano il numero di telefono dei membri) ha subito pesanti attacchi di Denial of Service proveniendi da indirizzi IP della Republlica Popolare Cinese.
App di messagistica, strumenti di lotta e repressione
Pavel Durov, l’autore di Telegram, intervistato dal South China Morning Post ha parlato di attacchi da 200-400 Gigabit/sec, quindi attacchi di dimensione assolutamente non banale. Dal momento che l’app di messaging diventa (con un linguaggio un po’ da anni ’70…) uno strumento di lotta, diventa anche un target per i governi autoritari.
Se quasi tutte le app in questa categoria oggi permettono – o hanno per default – comunicazioni cifrate, le autorità possono sempre accedere ai metadati e ai dati di traffico (sostanzialmente chi comunica con chi quando e dove, ed eventualmente anche chi ha in rubrica chi), il che rende l’utilizzo sicuro di tali applicazioni un tantino più complesso di quello che sembra: tanto che Ivan Ip, studente di 22 anni amministratore del canale Telegram @parade69 (un canale da 30000 mila utenti) dove sono state condivise informazioni sulle manifestazioni, è stato arrestato qualche giorno fa.
La vicenda di Ivan Ip ha spinto in effetti i manifestanti ad assumere un atteggiamento più attento e meno disinvolto nell’utilizzo degli strumenti digitali di comunicazione.
Tutti i punti critici della privacy Whatsapp
Se WhatsApp utilizza il medesimo protocollo di Signal, applicazione ritenuta altamente sicura per la cifratura delle comunicazioni, pochi sanno ad esempio che su Android WhatsApp fa il backup delle chat su Google Drive in chiaro. Inoltre WhatsApp ha almeno altri due problemi che ne rendono l’utilizzo abbastanza discutibile in questi contesti.
Innanzitutto, il numero di telefono dell’utente appare ovunque nelle comunicazioni WhatsApp: questo è un difetto fondamentale. Se vado su un gruppo WhatsApp so immediatamente tutti i numeri di telefono dei membri, ad esempio. Inoltre, il codice di WhatsApp non è noto e quindi circa l’implementazione del protocollo Signal dobbiamo fidarci della parola di chi ha sviluppato il software.
I problemi di Telegram e il “caso” Firechat
Ma anche Telegram, pur così popolare tra i manifestanti di Hong Kong, ha la sua buona dose di problemi, ben riassunta in un post del noto esperto di sicurezza informatica che utilizza il nickname “The Grugq”. Qui i problemi sono molteplici: si va da un protocollo crittografico confuso, al fatto che per default i messaggi non sono cifrati e vengono conservati sui server di Telegram. Ma almeno parte del codice sorgente è noto e nessuno è stato in grado di aggiudicarsi i 300 mila dollari messi in palio da Pavel Durov per chi fosse riuscito a rompere la crittografia di Telegram.
Leggermente diverso il caso di Firechat, un’applicazione che permette di comunicare utilizzando reti ad hoc costruite con collegamenti bluetooth o wifi “volanti”. In questo caso non viene utilizzata per nulla l’infrastruttura di rete pubblica e le autorità non hanno modo, in linea di principio, di intercettare le comunicazioni. Ma questo funziona bene solo in contesti in cui la densità della popolazione ed il tasso di penetrazione dell’app sono sufficientemente elevati, il che è peraltro il caso di Hong Kong.
Dove non arriva il cyberattacco arriva il malware
Dove non arriva il cyberattacco, la censura o il denial of service, può comunque arrivare il malware, come l’esperienza sempre di Hong Kong nel 2014 dimostra: allora fu utilizzata WhatsApp per attacchi di phishing verso i manifestanti, tentando di spingerli ad installare un’app in grado di spiarne le attività.
Mettendosi un istante nei panni dei manifestanti, si capisce immediatamente come un’eccessiva fiducia in uno strumento tecnologico digitale, come tale intrinsecamente opaco, rischia di favorire pericolose cadute nella gestione della sicurezza operativa (OPSEC) che, in regimi autoritari, possono avere conseguenze anche gravi.
