Link alla notizia: https://www.hwupgrade.it/news/telefonia/whatsapp-non-sara-mai-sicura-parola-di-paul-durov-ceo-di-telegram-ecco-il-motivo_82388.html

Il CEO di Telegram non ci va leggero sulla notizia dello spyware che ha colpito WhatsApp. Il creatore del nuovo sistema di messaggistica evidenzia grosse problematiche di fondo dell'applicazione di Zuckerberg soprattutto nella privacy.

Click sul link per visualizzare la notizia.

Se lo dice il CEO dell'azienda rivale allora c'è da credergli, sono sicuro che è stato obbiettivo ed imparziale. ;)

Se lo dice il CEO dell'azienda rivale allora c'è da credergli, sono sicuro che è stato obbiettivo ed imparziale. ;)

Entrando nel merito mi pare abbia sostanzialmente ragione.

Se lo dice il CEO dell'azienda rivale allora c'è da credergli, sono sicuro che è stato obbiettivo ed imparziale. ;)

Quindi mi sembra di capire che non hai letto niente dell'articolo ma hai commentato lo stesso... bene

http://img4.wikia.nocookie.net/__cb20110916142125/villains/images/b/bb/MGS3-TheFury.jpg

Se lo dice il CEO dell'azienda rivale allora c'è da credergli, sono sicuro che è stato obbiettivo ed imparziale. ;)

Io da utente totalmente imparziale, devo dirti che concordo con lui al 100%

Purtroppo ha ragione al 100%

Standing ovation!

Amo Telegram e ho profonda stima del suo fondatore, che ha un canale con cui pubblica notizie ed a volte anche caxxi suoi all'interno dell'app, così come un changelog interessante e comprensibile ed un'app web veramente web, senza la schiavitù dell'app sul telefono.

La lunga lettera scritta dal CEO è interssantissima.

Peccato che predichi bene, ma razzoli male.

Cioè stiamo parlando di Telegram?

L'azienda russa dei 2 fratelli benefattori che lavorano gratis da anni, pagano centinaia di persone, strutture, uffici, centinaia di SERVER, hardware, programmatori, sviluppatori e.ccc.... TUTTO GRATIS e coi loro soldi?

Parliamo di TELEGRAM, app con codice libero, che critica whatsapp in quanto ha codice chiuso... ma le conversazioni di telegram vengono salvate sul cloud dell’azienda? E crittografate con un algoritmo inventato da loro?

La lunga lettera scritta dal CEO è interssantissima.

Peccato che predichi bene, ma razzoli male.

Cioè stiamo parlando di Telegram?

L'azienda russa dei 2 fratelli benefattori che lavorano gratis da anni, pagano centinaia di persone, strutture, uffici, centinaia di SERVER, hardware, programmatori, sviluppatori e.ccc.... TUTTO GRATIS e coi loro soldi?

Parliamo di TELEGRAM, app con codice libero, che critica whatsapp in quanto ha codice chiuso... ma le conversazioni di telegram vengono salvate sul cloud dell’azienda? E crittografate con un algoritmo inventato da loro?

concordo a pieno, poi comunque il discorso che il codice open è più sicuro del closed è sempre un discorso delicato, vero che è più facile che qualcuno trovi falle, ma è anche vero che queste falle potrebbero essere scoperte "facilmente" anche da hacker. il caso del bug sulla libreria di openssh che è rimasto "aperto" per vent'anni è emblematico di ciò

Link alla notizia: https://www.hwupgrade.it/news/telefonia/whatsapp-non-sara-mai-sicura-parola-di-paul-durov-ceo-di-telegram-ecco-il-motivo_82388.html


Ah, bè parla quello che ha creato un app che permette la diffusione del "dark web" a tutti...
Sui gruppi di telegram ci gira tanta di quella roba illegale ( warez, account craccati, ecc.ecc. ) da far sembrare il famoso sito di "scambio etico" il sito della siae !

Ah, bè parla quello che ha creato un app che permette la diffusione del "dark web" a tutti...
Sui gruppi di telegram ci gira tanta di quella roba illegale ( warez, account craccati, ecc.ecc. ) da far sembrare il famoso sito di "scambio etico" il sito della siae !

Cosa c'entri questo col discorso in questione lo sai solo tu.
Semmai e' una prova che telegram protegge la privacy degli utenti piu della concorrenza

Cosa c'entri questo col discorso in questione lo sai solo tu.

Sai il famoso detto:
Da che pulpito viene la predica ?


Semmai e' una prova che telegram protegge la privacy degli utenti piu della concorrenza
Ah bè, se adesso permettere la diffusione incontrollata di materiale illegale significa proteggere la privacy, io mi arrendo !

Sai il famoso detto:
Da che pulpito viene la predica ?

Sai il famoso argomento argumentum ad hominem ?
https://it.wikipedia.org/wiki/Argumentum_ad_hominem

Sui gruppi di telegram ci gira tanta di quella roba illegale ( warez, account craccati, ecc.ecc. ) da far sembrare il famoso sito di "scambio etico" il sito della siae !

Sì, ok.. sarà pure vero (non ne ho idea visto che non uso né telegram né wapp) .. ma non è che ora si può incolpare il creatore dell'applicazione se la gente delinque.

Chi vuole lo ha sempre fatto e sempre lo farà, a prescindere dal fatto che esista l'insignificante - a tal proposito - Telegram.

Prima c'erano le IRC.. cioè.. la gente che vuole scambiarsi roba illegale di certo il modo lo trova; e Telegram, a suo modo, è una valida applicazione, migliore certamente e più sicura (per le ragioni che si sanno) di quel colabrodo (è assurdo negarlo, su) di Whatsapp.

Sì, ok.. sarà pure vero (non ne ho idea visto che non uso né telegram né wapp) .. ma non è che ora si può incolpare il creatore dell'applicazione se la gente delinque.

Al tempo di napster, non fù così e direi anche al tempo di mega del mitico kim dotcom e per finire al sito dello scambio etico...

Telegram a suo modo è una valida applicazione, migliore certamente e più sicura (per le ragioni che si sanno) di quel colabrodo (è assurdo negarlo, su) di Whatsapp.[/QUOTE]

Io non nego nulla, e tanto meno difendo una o l'altra app di messaggistica !

è uno spettacolo che telegram e whatsapp si scannino per dire chi rispetta di più la privacy etc.. è palese che a nessuno dei due interessa molto questa cosa e che approfittano solo delle debolezze altrui.. d'altro canto se telegram non si è imposto non è colpa di whatsapp ma di telegram

mi pare la guerra fra intel e amd con i buchi delle cpu intel..

se si divertono loro va bene.. ma alla fine ci rimettiamo sempre e solo noi..

fino a che la privacy e la proprietà privata ed intellettuale non diventeranno un bene da proteggere a suon di multe miliardarie nessuna SPA si interesserà ai problemi dei clienti.. ne una società russa e una americana o europea o cinese etc... i dati sono merce di scambio che vendono da sempre.. perchè proteggerla ?

è palese che a nessuno dei due interessa molto questa cosa e che approfittano solo delle debolezze altrui.. d'altro canto se telegram non si è imposto non è colpa di whatsapp ma di telegram

Beh, sulla privacy sarà anche vero.. ma è innegabile che ci sono applicazioni fatte male e altre fatte meglio, applicazioni che è più facile "bucare" per limiti intrinsechi e perché programmate male e altre che è più difficile violare.

Questa vulneraiblità di Whatsapp, che richiedeva solo di ricevere una telefonata - a cui manco dovevi rispondere per essere infettato dal worm - mi pare molto, molto grande e assai grave.

Telegram, per di più, ha codice opensource, per cui c'è tanta gente che può effettivamente verificare e trovare eventuali falle, Whatsapp manco quello.

Per cui alla fine liquidare così la faccenda .. dire sempre che è tutto uguale non lo trovo non solo sensato ma nemmeno corretto.

Che Whatsapp sia fatta da culo e un colabrodo lo si sa da anni..
E a prescindere dalla diffusione.. Telegram (che non difendo d'ufficio - dato che come ho premesso manco lo uso - ) come applicazione è innegabilmente fatta meglio.

Che Whatsapp sia fatta da culo e un colabrodo lo si sa da anni..

Ah si, lo dice anche mioccuggino...

Ah, bè parla quello che ha creato un app che permette la diffusione del "dark web" a tutti...
Sui gruppi di telegram ci gira tanta di quella roba illegale ( warez, account craccati, ecc.ecc. ) da far sembrare il famoso sito di "scambio etico" il sito della siae !
Tu confondi lo strumento con l'uso che ne viene fatto.
Tanto vale andare a bussare a chi produce coltelli, lamentandosi di tutti quelli che vengono pugnalati alle spalle per colpa loro.

La lunga lettera scritta dal CEO è interssantissima.

Peccato che predichi bene, ma razzoli male.

Cioè stiamo parlando di Telegram?

L'azienda russa dei 2 fratelli benefattori che lavorano gratis da anni, pagano centinaia di persone, strutture, uffici, centinaia di SERVER, hardware, programmatori, sviluppatori e.ccc.... TUTTO GRATIS e coi loro soldi?

Parliamo di TELEGRAM, app con codice libero, che critica whatsapp in quanto ha codice chiuso... ma le conversazioni di telegram vengono salvate sul cloud dell’azienda? E crittografate con un algoritmo inventato da loro?
Si sceglie il male minore. Se telegram non è uno stinco di santo, wazzap è veramente il peggio.

Si sceglie il male minore.

Esatto. Ma quelli che pensano e si vantano in giro tra amici e forum che loro usano telegram che è sicurissimo e super privato...

Forse è meglio che riflettano, o perlomeno che sappiano un po' di più. E non solo ripetere a pappagallo che telegram è il migliore e wa la peggio app

Forse è meglio che riflettano, o perlomeno che sappiano un po' di più. E non solo ripetere a pappagallo che telegram è il migliore e wa la peggio app
Il fatto che sia migliore (flessibilità di utilizzo e consumo risorse, passato poi a Telegram X su vari terminali vecchiotti) credo che sia un dato oggettivo e personalmente lo stra-prediligo a tutto il resto quando devo comunicare normalmente, se invece si vuole comunicare veramente in privato, ecc., allora si usa altro e open source (con audit annesso).

Che poi sia comodissimo anche per altre cose (per me l'immediatezza nel poterlo usare con numero cell non mio) considerate illegali, pazienza :D

Ah si, lo dice anche mioccuggino...

Lo dice - da solo - quello che è capitato e che continua a capitare..

Cioè, dai.. tutta 'sta ostinazione perenne a negare sempre i fatti pure di fronte alla più lampante evidenza ha veramente scassato i cosiddetti.

Il fatto che sia migliore (flessibilità di utilizzo e consumo risorse, passato poi a Telegram X su vari terminali vecchiotti) credo che sia un dato oggettivo

Ma infatti; e negare questa banale e semplice ovvietà è sinceramente ridicolo (tralasciando pure tutto il discorso falle e sicurezza).

Tralasciando le solite war, quello che fa ridere è che pensiate che nel 2019 nessuno sappia niente di voi, che siate sicuri, e che esista la privacy :D
Dai basta con le solite cagate trite e ritrite, nessuno ha detto che con Telegram o Whatsapp si è sicuri da occhi indiscreti e bla bla bla, ma i mezzi per avere una buona dose di privacy ci sono eccome ma come sempre bisogna avere un po' di volontà per documentarsi bene e mettersi all'opera.

La lunga lettera scritta dal CEO è interssantissima.

Peccato che predichi bene, ma razzoli male.

Cioè stiamo parlando di Telegram?

L'azienda russa dei 2 fratelli benefattori che lavorano gratis da anni, pagano centinaia di persone, strutture, uffici, centinaia di SERVER, hardware, programmatori, sviluppatori e.ccc.... TUTTO GRATIS e coi loro soldi?

Parliamo di TELEGRAM, app con codice libero, che critica whatsapp in quanto ha codice chiuso... ma le conversazioni di telegram vengono salvate sul cloud dell’azienda? E crittografate con un algoritmo inventato da loro?

Telegram è solo una parte di un progetto più grande che si chiama Telegram Open Network (TON) (https://icorating.com/upload/whitepaper/gNQ7e9z3lCGi519Wz8mmC0Kg8aA0goeZKAQ802vo.pdf) ovvero una sorta di Internet parallela decentralizzata priva di censura.
Non dimentichiamo che TON ha raccolto 1.8 miliardi di dollari e presto consentirà di comprare servizi come VPN, spazio in cloud e hosting Web oltre che di inviare denaro.
La differenza sostanziale tra telegram e whatsapp è che la prima non deve rispondere agli azionisti e non vive per guadagnare come la seconda. E' un esempio atipico nel mondo capitalista di oggi che mostra l'esistenza di altri valori oltre il profitto...

Telegram ha dei difetti come tutte le applicazioni. Comunque, il paragone tra telegram e whatsapp non è molto diverso, a livello di qualità di programmazione, da quello del protocollo wireguard e openVPN.
Telegram dovrebbe diventare l'applicazione di messaggistica predefinita (secondo me lo diventerà) e lasciare wire e riot per coloro che necessitano di massima riservatezza.

Trovo preoccupante che molti non riescano a vedere, nemmeno leggendo il post di Durov, i tanti aspetti oggettivi su cui si basa la sua risposta pubblica (tra le righe), ed argomentata, a Zuck che gli ha copiato la filosofia nel discorso all'F8.
Chi ha seguito la storia di Durov sa apprezzare la sua schiettezza in quello che scrive.

Forse dei commenti interessanti potrebbero venire da chi proverá a convincere almeno tre suoi amici a togliere WA e usare TG, e riferire perché hanno eventualmente detto di no.

Molti diranno non mi importa, o non mi va, sono abituato cosí, ma in fondo basterebbe dare l'esempio passando ai propri contatti il proprio nick di TG, e invitare a fare altrettanto, aprendo una chat su TG e vedere che differenza fa.
Non é che sia sempre necessario tutelarsi, ma a volte anche aprire una chat segreta potrebbe far comodo, e visto che ci sono meglio no?

Io preferisco TG, e da quando FB (che non ho mai usato dall'inizio per scelta, essendo evidenti, a saper guardare, come non c'era tutela per le informazioni personali), ha comprato WA difficile pensare che sarebbe stata gestita con un metro diverso. A buon intenditore...

E' diverso, ti lasciano pensare che ci siano i mezzi e l'importante è che tu ti senta sicuro, ma ti posso garantire che non è così...
Tu non puoi garantire niente e non credo che tu abbia alcun titolo per parlare e ovviamente non ti parlo solo di Snowden e soci, ma soprattutto del sottoscritto che sa di cosa parla (la laurea specialistica in informatica non me l'hanno regalata) e che segue appositamente alcune newsletter inglesi e soprattutto tedesche dove vengono elencate tutte le operazioni di cattura nel dark web e le modalità tecniche con le quali sono state portate avanti. Fino ad oggi tutti i raid di successo da parte delle forze dell'ordine sono avvenuti a causa esclusivamente di utenza ignorante, non accorta e con cattivo uso dei mezzi disponibili.

Tralasciando le solite war, quello che fa ridere è che pensiate che nel 2019 nessuno sappia niente di voi, che siate sicuri, e che esista la privacy :DMi limito a quotare questa perchè, con tutto il rispetto, è una scemenza.
Una persona è liberissima di fregarsene del diritto alla riservatezza, ma ciò non toglie che questo diritto resti tale e non cambia di una virgola la sua importanza e ogni sforzo possibile per preservarlo.

Riguardo al resto, invito tutti a lasciar perdere le guerre di religione, lo dico da utente della prima ora di Telegram, che fino a poco tempo fa si è sempre rifiutato di installare Whatsapp (in primis per i rapporti con Facebook), ma che in parte ha cambiato parere dopo attente riflessioni e tanta documentazione.

Che Telegram e Whatsapp non garantiscano in pieno la privacy dell'utente è un dato di fatto per tanti motivi, pertanto sappiamo tutti che entrambi andrebbero usati solo per comunicazioni non critiche.
Che abbiamo dei bug è oggettivo (surprise surprise, it's software! :asd: ) e francamente trovo infantile che qualcuno utilizzi questa leva per tifare per un software o l'altro.

E' evidente che le feature di base di Telegram siano maggiori (e per questo lo uso come IM primario, in particolare su desktop), basti pensare ai client decisamente più evoluti, alla possibilità di usarlo senza telefono (sebbene sia un uso marginale), ai limiti (in gruppi, allegati etc etc), ai bot (che personalmente trovo utilissimi in ambito lavorativo per notifiche a gruppi di lavoro), API etc etc...
D'altro canto non si può negare che proprio sul versante sicurezza Whatsapp abbia lavorato maggiormente negli ultimi anni, la cifratura end to end di default è una lacuna SPAVENTOSA di Telegram (poi possiamo pedalare nello yogurt sul discorso backup in chiaro di Whatsapp, ma la lacuna rest :O ), idem la sua TOTALE mancanza nelle chat di gruppo.

Non solo, ci sarebbero molti altri aspetti meno evidenti ma non meno importanti:

il protocollo di Telegram è in parte basato su SHA1, che francamente è ormai considerato un algoritmo insicuro e facilmente violabile
l'autenticazione multifattore si basa su sms e quindi un protocollo ideato nel 1975 e considerano insicuro fin dal 2014
sulla carta il client di Telegram è open source, in realtà quello che viene distribuito sugli store è un binario offuscato, i sorgenti sono drasticamente più arretrati e mancano di parecchie feature. Il server è totalmente closed.
api insicure che hanno permesso di utilizzare i bot per diffondere malware
varie dimostrazioni di attacchi mitm, estrazione di utenti convolti nelle conversazioni anche con cifratura e2e e tutte le feature di sicurezza attive,


Io uso prevalentemente Telegram e il 90% dei miei messaggi passano su quel servizio (il fatto di essere rimasto lontano da Whatsapp per tanti anni ha fatto si che tutti i miei contatti pensassero che non lo usassi, e danno per scontato che sia così anche ora :asd: ) ma non posso negare di essere piuttosto deluso dal comportamento del team di sviluppo negli ultimi anni, che sembra aver messa da parte gli aspetti più importanti per concentrare i propri sforzi su features assolutamente secondarie, lasciando il versante sicurezza essenzialmente inalterato da tanto, troppo tempo.

Tu confondi lo strumento con l'uso che ne viene fatto.
Tanto vale andare a bussare a chi produce coltelli, lamentandosi di tutti quelli che vengono pugnalati alle spalle per colpa loro.

Non sono io a farlo..
Ma i giudici/magistrati che chiudono i siti che vengono utilizzati per scambiare materiale illegale !

il protocollo di Telegram è in parte basato su SHA1, che francamente è ormai considerato un algoritmo insicuro e facilmente violabile

Il protocollo MTproto v2.0 (https://core.telegram.org/mtproto) di telegram non utilizza più SHA-1, ma SHA-256. Tutto a partire dalla versione 4.6 ovvero da dicembre 2017.

l'autenticazione multifattore si basa su sms e quindi un protocollo ideato nel 1975 e considerano insicuro fin dal 2014

La 2fa (https://telegram.org/blog/sessions-and-2-step-verification) può essere impostata tramite email.

sulla carta il client di Telegram è open source, in realtà quello che viene distribuito sugli store è un binario offuscato, i sorgenti sono drasticamente più arretrati e mancano di parecchie feature. Il server è totalmente closed.

Telegram client è open source. Solitamente il codice sorgente è pubblicato in 1-2 settimane dal rilascio delle build e dispone di tutte le funzionalità link (https://t.me/s/tgbeta). Inoltre, telegram è presente anche su f-droid (https://f-droid.org/en/packages/org.telegram.messenger/) senza alcune parti di codice proprietarie come i servizi google CGM, gmaps e tutto il software non compatibile con l'ideologia FOSS.

api insicure che hanno permesso di utilizzare i bot per diffondere malware

Fonte?

varie dimostrazioni di attacchi mitm, estrazione di utenti convolti nelle conversazioni anche con cifratura e2e e tutte le feature di sicurezza attive,

Fonte? L'unica fonte attendibile che conosco, è il "famoso" articolo di Jakobsen le cui tesi sono state smontate da telegram (https://telegra.ph/mtproto-security-01-17).

D'altro canto non si può negare che proprio sul versante sicurezza Whatsapp abbia lavorato maggiormente negli ultimi anni, la cifratura end to end di default è una lacuna SPAVENTOSA di Telegram (poi possiamo pedalare nello yogurt sul discorso backup in chiaro di Whatsapp, ma la lacuna rest :O ), idem la sua TOTALE mancanza nelle chat di gruppo.

Alcuni motivi per i quali telegram non utilizza di default la crittografia e2e (https://telegra.ph/Why-Isnt-Telegram-End-to-End-Encrypted-by-Default-08-14) sono spiegati da Durov. Personalmente li ritengo molto validi.

Altro dettaglio da non sottovalutare: "In quasi 6 anni di esistenza, Telegram non ha mai riscontrato perdite di dati o falle nella sicurezza come invece accaduto a WhatsApp. Negli stessi 6 anni, abbiamo rivelato esattamente zero byte di dati a terze parti, mentre Facebook e WhatsApp ha condiviso praticamente tutto con tutti coloro che hanno affermato di aver lavorato per un governo."

Infine, come ho detto in precedenza se occorre la riservatezza assoluta molto meglio wire e riot. Nell'utilizzo quotidiano non conosco soluzioni superiori a telegram eccetto che per le video chiamate e video conferenze (ancora per poco dato che dovrebbero arrivare in qualche mese).

Anzitutto grazie per le informazioni, evidentemente i dati che citavo erano più datati di quanto credessi.

Fonte?

Fonte? L'unica fonte attendibile che conosco, è il "famoso" articolo di Jakobsen le cui tesi sono state smontate da telegram (https://telegra.ph/mtproto-security-01-17).Ti riporto alcune delle fonti.
Questo è un case (https://www.forcepoint.com/blog/security-labs/tapping-telegram-bots) abbastanza recente che riporta un caso di utilizzo bot per diffusione di malware.
Questo (https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/INT_Telegram_EN.pdf) è un poc di un attacco mitm.
Questo (https://courses.csail.mit.edu/6.857/2017/project/19.pdf) è un altro paper con differente scenario.

Non fraintendermi, se dovesse risultare che queste poc sono ormai obsolete e le relative vulnerabilità fixate sarei il primo a esserne felice.
Però problemi ce ne sono stati e sembrano continuino a esserci.

Alcuni motivi per i quali telegram non utilizza di default la crittografia e2e (https://telegra.ph/Why-Isnt-Telegram-End-to-End-Encrypted-by-Default-08-14) sono spiegati da Durov. Personalmente li ritengo molto validi.Eh questo è quello a cui mi riferivo quando parlavo dei backup, personalmente trovo che sia una giustificazione piuttosto debole.
Che la gestione dei backup di Whatsapp sia debole e suscettibile di mille criticità tali da vanificare di fatto la cifratura e2e è oggettivo, ma non significa che non si possano sviluppare altri sistemi di backup.
Questo approccio sembra tanto giustificare la mancanza di una feature ormai considerata irrinunciabile per questa classe di applicazioni con un cavillo; la cattiva implementazione di una funzionalità da parte di un prodotto concorrente non giustifica la mancata adozione di quella stessa funzionalità (perchè di fatto è quello che accade relegando la cifratura e2e alle chat "segrete"), a maggior ragione considerando l'utilità della funzionalità stessa.

Infine, come ho detto in precedenza se occorre la riservatezza assoluta molto meglio wire e riot. Nell'utilizzo quotidiano non conosco soluzioni superiori a telegram eccetto che per le video chiamate e video conferenze (ancora per poco dato che dovrebbero arrivare in qualche mese).Su questo sono pienamente d'accordo, è stata una delle mie premesse :)

Quindi mi sembra di capire che non hai letto niente dell'articolo ma hai commentato lo stesso... bene

Al di là di tutto l'unica certezza è che in ambito digitale NON esiste nessuna certezza di sicurezza... l'affermazione "Negli stessi 6 anni, abbiamo rivelato esattamente zero byte di dati a terze parti" dice che loro non condividono dati (che quindi posseggono), ma il problema non è ciò che rilasci, ma ciò che viene "estrapolato" fraudolentemente e nessuno può garantire sicurezza in tal senso. Neanche le blockchain sono immuni da "buchi"... anzi...

Caro CEO di Telegram, giusto un paio di cosette:


"Oste, com'e' il vino dell'altro oste?"... Cosa volete che vi risponda...
NESSUN software e' privo di bachi; se Telegram ancora non ha ricevuto attacchi, probabilmente e' perche' non ha abbastanza massa critica da attirare l'attenzione per un furto dati;
Che sicurezza hai che nessuno abbia mai trafugato dati da Telegram? Te lo vengono a dire se lo fanno? Magari c'e' gente abbastanza scaltra da trafugare dati e, come detto in precedenza, dato che sono pochi nessuno ha mai avuto la briga di controllare...


Qualsiasi persona, soprattutto CEO, dovrebbe evitare di spalare mer@a sulla concorrenza, fosse mai che in questo modo passa automaticamente dalla parte dei cattivi. Almeno personalmente e' una cosa che non ho mai accettato...

...L'azienda russa dei 2 fratelli benefattori che lavorano gratis da anni, pagano centinaia di persone, strutture, uffici, centinaia di SERVER, hardware, programmatori, sviluppatori e.ccc.... TUTTO GRATIS e coi loro soldi?

se non ho capito male, lo pagano con i milioni avuti dalla vendita (forzata) di VK, una rete sociale diffusissima in russia e dintorni.

non so quanto costi una infastruttura del genere, ma direi che se wikipedia sta in piedi, linux sta in piedi, libreoffice sta in piedi... ci sono un sacco di realtà che non sono a scopo di lucro ma stanno in piedi, beh, allora i costi per tenerle in peidi non devono essere osì astronomici.
e se uno ha qualche milione da metterci, sono infrastrutture che evidentemente possono stare in piedi.

...Qualsiasi persona, soprattutto CEO, dovrebbe evitare di spalare mer@a sulla concorrenza, fosse mai che in questo modo passa automaticamente dalla parte dei cattivi. Almeno personalmente e' una cosa che non ho mai accettato...
oddio. E come fai a stare sul pianeta Terra?!? :D

Questo (https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/INT_Telegram_EN.pdf) è un poc di un attacco mitm.

Come descritto dagli autori, l'attacco non è possibile con i client ufficiali, ma solo con un client modificato ad hoc (e naturalmente solo se non è attiva la 2FA).

Questo (https://courses.csail.mit.edu/6.857/2017/project/19.pdf) è un altro paper con differente scenario.

Questo era già noto, non c'è traccia di alcun attacco. Mostrano che attraverso i meta dati è possibile sapere quando due interlocutori si parlano, ma non cosa si dicono. Solo alcune applicazioni cifrano i meta dati e nessuna completamente per ovvie ragioni (wire e signal).

Questo è un case (https://www.forcepoint.com/blog/security-labs/tapping-telegram-bots) abbastanza recente che riporta un caso di utilizzo bot per diffusione di malware.

Questa è nuova e non la conoscevo. Da quanto riportato sembra sia possibile ottenere il contenuto delle chat dove sono presenti i bot a patto di riuscire a eseguire un attacco MiM contro il protocollo HTTPS/TLS.


Eh questo è quello a cui mi riferivo quando parlavo dei backup, personalmente trovo che sia una giustificazione piuttosto debole.
Che la gestione dei backup di Whatsapp sia debole e suscettibile di mille criticità tali da vanificare di fatto la cifratura e2e è oggettivo, ma non significa che non si possano sviluppare altri sistemi di backup.

Come descritto nell'articolo ci sono 3 vie per avere un backup delle chat:

In cloud come telegram: questo permette di tenere nei propri server le chat e offre una funzionalità semplice ed efficiente per il ripristino. Occorre avere fiducia nel gestore dell'applicazione.
In cloud come whatsapp: i dati finiscono su server di terze parti in chiaro. Pur essendo efficiente, occorre avere fiducia nel gestore dell'applicazione e del cloud.
In locale come wire o signal: i dati rimangono in locale. Non è necessaria alcuna fiducia in terze parti.

La terza via è certamente la migliore dal punto di vista della riservatezza, ma quanti utenti sarebbe in grado di utilizzarla senza perdere dati e tempo?! Solo gli utenti esperti ovvero meno del 5%. Per questo credo non ci siano dubbi tra quale scegliere (la prima).


Questo approccio sembra tanto giustificare la mancanza di una feature ormai considerata irrinunciabile per questa classe di applicazioni con un cavillo; la cattiva implementazione di una funzionalità da parte di un prodotto concorrente non giustifica la mancata adozione di quella stessa funzionalità (perchè di fatto è quello che accade relegando la cifratura e2e alle chat "segrete"), a maggior ragione considerando l'utilità della funzionalità stessa.

Telegram utilizza la crittografia e2e sia per le chat segrete sia per le chiamate vocali. Tutte le applicazioni che utilizzano la crittografia e2e soffrono di un "piccolo" difetto; la necessità di trovarsi personalmente da parte degli interlocutori per verificare il fingerprint della chiave di crittografia pubblica. Senza questa azione la fiducia è solo teorica e nessuno garantisce l'assenza di un MiM. (Per esempio wire notifica il cambio di chiave pubblica mentre sia signal sia whatsapp hanno l'opzione disattivata. Whatsapp ha già sofferto di tale problema in passato (https://www.theguardian.com/technology/2017/jan/13/whatsapp-design-feature-encrypted-messages)).
Inoltre, ogni nuovo dispositivo aggiunto (anche una reinstallazione) al gruppo di dispositivi di un account, richiede nuovamente di incontrarsi fisicamente (qui (https://keybase.io/blog/chat-apps-softer-than-tofu) è spiegato bene).
Telegram in caso di compromissione del canale e2e, chiude immediatamente la chat. La maggioranza delle altre applicazioni non possono permettersi questo dato che non hanno alternative alle chat e2e.


Però problemi ce ne sono stati e sembrano continuino a esserci.

Tutti i software hanno problemi, nessuno lo mette in dubbio. Tuttavia c'è una grande differenza tra poter leggere le chat e il contenuto di tutto il telefono come nel caso della vulnerabilità in oggetto di whatsapp è i difetti di telegram. Non confondiamo.

Al di là di tutto l'unica certezza è che in ambito digitale NON esiste nessuna certezza di sicurezza... l'affermazione "Negli stessi 6 anni, abbiamo rivelato esattamente zero byte di dati a terze parti" dice che loro non condividono dati (che quindi posseggono), ma il problema non è ciò che rilasci, ma ciò che viene "estrapolato" fraudolentemente e nessuno può garantire sicurezza in tal senso. Neanche le blockchain sono immuni da "buchi"... anzi...

In nessun ambito esiste certezza completa. Nessun software è esente da bug.

Durov sta affermando che telegram non ha mai ceduto dati a terzi e per questo in Russia e Iran è stato bandito (senza successo) (https://decryptmedia.com/6632/telegram-fever-crypto-messenger-app-russia-iran-popularity).
Per telegram sono più importanti i diritti degli utenti rispetto al potere degli azionisti o dei governi. Questo è uno dei motivi che me lo fa preferire alla concorrenza.

Fino a prova contraria non è stato mai violato. Se esiste una falla e se qualcuno è riuscito a rubare dati prima o poi verrà fuori.
Infine, telegram sta sviluppando TON una rete decentralizzata in cui i dati saranno memorizzati direttamente dai nodi della rete.

...Questa è nuova e non la conoscevo. Da quanto riportato sembra sia possibile ottenere il contenuto delle chat dove sono presenti i bot a patto di riuscire a eseguire un attacco MiM contro il protocollo HTTPS/TLS.
beh, non mi sembra niente di incredibile: se intercetti l'https, mi pare ovvio che leggi cosa passa. Telegram, browser, posta o qualunque altra cosa.

Come descritto nell'articolo ci sono 3 vie per avere un backup delle chat:
in effetti la cosa che più mi secca di telegram è non poter spostare in locale e rimuovere dal cloud le vecchie chat. Un po' come spostare il locale la posta imap...

in effetti la cosa che più mi secca di telegram è non poter spostare in locale e rimuovere dal cloud le vecchie chat. Un po' come spostare il locale la posta imap...

In realtà puoi fare entrambe le cose. Per quanto riguarda il backup delle chat (https://telegram.org/blog/export-and-more) puoi farlo da desktop.

Per quanto riguarda la rimozione delle chat dal cloud, a partire dalla versione 5.5 mobile e 1.6 desktop (https://telegram.org/blog/unsend-privacy-emoji) puoi cancellare qualunque contenuto nelle chat per te e anche per il tuo interlocutore (questo ha fatto molto discutere messaggi 24-27 marzo (https://t.me/s/durov)). Nei gruppi puoi cancellare tutti i tuoi contenuti. Entrambe le funzioni sono valide per un tempo illimitato e non più solo per 48 ore come in precedenza.

In realtà puoi fare entrambe le cose. Per quanto riguarda il backup delle chat (https://telegram.org/blog/export-and-more) puoi farlo da desktop.

Per quanto riguarda la rimozione delle chat dal cloud, a partire dalla versione 5.5 mobile e 1.6 desktop (https://telegram.org/blog/unsend-privacy-emoji) puoi cancellare qualunque contenuto nelle chat per te e anche per il tuo interlocutore (questo ha fatto molto discutere messaggi 24-27 marzo (https://t.me/s/durov)). Nei gruppi puoi cancellare tutti i tuoi contenuti. Entrambe le funzioni sono valide per un tempo illimitato e non più solo per 48 ore come in precedenza.

grazie delle info :)
però intendevo esportarle in locale e poter continuare a consultarle da locale tramite l'app.

grazie delle info :)
però intendevo esportarle in locale e poter continuare a consultarle da locale tramite l'app.

Una volta esportate, le chat in HTML sono disponibili tramite qualunque browser.

Tralasciando le solite war, quello che fa ridere è che pensiate che nel 2019 nessuno sappia niente di voi, che siate sicuri, e che esista la privacy :D


La cosa buffa è che cotanta lucida e disincantata analisi socio politica viene fatta da una persona che, molto probabilmente, usa un servizio come WA, un servizio che è palesemente illegale, in quanto permette al software che gestisce il servizio stesso di accedere e compiare i dati della rubrica, dati privati che non appartengono al possessore del telefono in cui viene installato WA (e tutti software analoghi).
Tutto questo comporta da pare di chi lo installa il rendersi responsabile del reato di appropriazione indebita (reato penale).
Facile fare il "disincantato" con il c.... emh.... con i dati degli altri.....

ps
Ed è molto comodo accusare la società, le multinazionali, di predare i nostri dati quando la responsabilità grava sulla libera scelta di ognuno di noi.
Troppo facile fare il disincantato per lavarsi la coscienza.

Tutti i software hanno problemi, nessuno lo mette in dubbio. Tuttavia c'è una grande differenza tra poter leggere le chat e il contenuto di tutto il telefono come nel caso della vulnerabilità in oggetto di whatsapp è i difetti di telegram. Non confondiamo.Assolutamente, però dobbiamo riconoscere che lato Telegram quello della sicurezza e della riservatezza è sempre stato un cavallo di battaglia, è normale che si versi sale sulle ferite nel momento in cui non tutto risulti trasparente o che ci sia qualche falla proprio su aspetti fondanti, non credi?

Per esempio riprendendo due aspetti che abbiamo trattato prima (perdonami ma il tempo che ho a disposizione per seguire il thread è limitato e solo ora ho avuto modo di approfondire):

il sito ufficiale che hai linkato sostiene che MTProto 2.0 usa SHA-256, ma a me risulta che per la generazione dell'auth key utilizzi anche l'algoritmo SHA-1 (link (https://core.telegram.org/mtproto/auth_key))
Riguardo all'autenticazione multifattore, hai perfettamente ragione, l'utente può utilizzare l'email per richiedere il codice di sblocco, ma non è obbligato a farlo.

Mi limito a quotare questa perchè, con tutto il rispetto, è una scemenza.
Una persona è liberissima di fregarsene del diritto alla riservatezza, ma ciò non toglie che questo diritto resti tale e non cambia di una virgola la sua importanza e ogni sforzo possibile per preservarlo.

Riguardo al resto, invito tutti a lasciar perdere le guerre di religione, lo dico da utente della prima ora di Telegram, che fino a poco tempo fa si è sempre rifiutato di installare Whatsapp (in primis per i rapporti con Facebook), ma che in parte ha cambiato parere dopo attente riflessioni e tanta documentazione.

Che Telegram e Whatsapp non garantiscano in pieno la privacy dell'utente è un dato di fatto per tanti motivi, pertanto sappiamo tutti che entrambi andrebbero usati solo per comunicazioni non critiche.
Che abbiamo dei bug è oggettivo (surprise surprise, it's software! :asd: ) e francamente trovo infantile che qualcuno utilizzi questa leva per tifare per un software o l'altro.

E' evidente che le feature di base di Telegram siano maggiori (e per questo lo uso come IM primario, in particolare su desktop), basti pensare ai client decisamente più evoluti, alla possibilità di usarlo senza telefono (sebbene sia un uso marginale), ai limiti (in gruppi, allegati etc etc), ai bot (che personalmente trovo utilissimi in ambito lavorativo per notifiche a gruppi di lavoro), API etc etc...
D'altro canto non si può negare che proprio sul versante sicurezza Whatsapp abbia lavorato maggiormente negli ultimi anni, la cifratura end to end di default è una lacuna SPAVENTOSA di Telegram (poi possiamo pedalare nello yogurt sul discorso backup in chiaro di Whatsapp, ma la lacuna rest :O ), idem la sua TOTALE mancanza nelle chat di gruppo.

Non solo, ci sarebbero molti altri aspetti meno evidenti ma non meno importanti:

il protocollo di Telegram è in parte basato su SHA1, che francamente è ormai considerato un algoritmo insicuro e facilmente violabile
l'autenticazione multifattore si basa su sms e quindi un protocollo ideato nel 1975 e considerano insicuro fin dal 2014
sulla carta il client di Telegram è open source, in realtà quello che viene distribuito sugli store è un binario offuscato, i sorgenti sono drasticamente più arretrati e mancano di parecchie feature. Il server è totalmente closed.
api insicure che hanno permesso di utilizzare i bot per diffondere malware
varie dimostrazioni di attacchi mitm, estrazione di utenti convolti nelle conversazioni anche con cifratura e2e e tutte le feature di sicurezza attive,


Io uso prevalentemente Telegram e il 90% dei miei messaggi passano su quel servizio (il fatto di essere rimasto lontano da Whatsapp per tanti anni ha fatto si che tutti i miei contatti pensassero che non lo usassi, e danno per scontato che sia così anche ora :asd: ) ma non posso negare di essere piuttosto deluso dal comportamento del team di sviluppo negli ultimi anni, che sembra aver messa da parte gli aspetti più importanti per concentrare i propri sforzi su features assolutamente secondarie, lasciando il versante sicurezza essenzialmente inalterato da tanto, troppo tempo.

A parte fare gli applausi a Tasslehoff per il post completo, abbastanza informato ed imparziale, mi sento di aggiungere un paio di cose:

WhatsApp ha implementato lo stesso sistema di Signal, che però è raccomandato da Snowden, tra i tanti, raccoglie meno dati e cosa più importante è completamente open source, scarno di funzionalità si, ma focalizzato in maniera maniacale sulla sicurezza, con tanto di spiegazione tecnica ad ogni implementazione

Quindi se si vuole quello che sembra essere uno tra i migliori disponibili Signal è un'ottima scelta, se si vogliono principalmente funzionalità e comodità Telegram è il top

Personalmente vedo/utilizzo e mi auguro che la diffusione vada in questa direzione:
Telegram come alternativa a Messenger
Signal come alternativa a WhatsApp

Grazie a entrambi ragazzi, ottime risposte e ne condivido le conclusioni.

Personalmente con Signal mi trovo benissimo e, nonostante abbia delle funzionalità in meno rispetto a WhatsApp, a differenza di quest'ultimo non ha la limitazione dell'app desktop vincolata al telefono. Cosa non da poco se si considera che non è basata sul cloud.

Personalmente con Signal mi trovo benissimo

Curiosità.. ma lo usi tra tuo telefono e tuo tablet? :D

Già Telegram lo usano in 3 gatti, ma signal ciaoooo

Secondo me con questa dichiarazione : "in quasi 6 anni di esistenza, Telegram non ha mai riscontrato perdite di dati o falle nella sicurezza come invece accaduto a WhatsApp"
L'ha lanciata.

A breve sentiremo parlare di un Data Breach Telegram

Assolutamente, però dobbiamo riconoscere che lato Telegram quello della sicurezza e della riservatezza è sempre stato un cavallo di battaglia, è normale che si versi sale sulle ferite nel momento in cui non tutto risulti trasparente o che ci sia qualche falla proprio su aspetti fondanti, non credi?

Certo, sarei il primo a smettere di utilizzarlo nel caso fosse rivelato qualcosa di simile alle backdoor di whatsapp, alle perdite di dati di facebook o instagram. Al momento non c'è traccia di una perdita di dati da parte di telegram.


il sito ufficiale che hai linkato sostiene che MTProto 2.0 usa SHA-256, ma a me risulta che per la generazione dell'auth key utilizzi anche l'algoritmo SHA-1 (link (https://core.telegram.org/mtproto/auth_key))

Come puoi vedere qui MTproto v2.0 (https://core.telegram.org/mtproto/description) e qui MTProto v1.0 (https://core.telegram.org/mtproto/description_v1), le due versioni utilizzano rispettivamente SHA-256 e SHA-1 per ottenere hash del messaggio e la chiave per cifrare il messaggio con AES tramite KDF. Tuttavia, per motivi di retro compatibilità auth_key è generato utilizzando SHA-1 in entrambi, è spiegato bene qui (https://core.telegram.org/mtproto/description#message-key-msg-key) e qui (https://core.telegram.org/techfaq#hash-collisions-for-diffie-hellman-keys). Nessun motivo di preoccupazione.


Riguardo all'autenticazione multifattore, hai perfettamente ragione, l'utente può utilizzare l'email per richiedere il codice di sblocco, ma non è obbligato a farlo.
[/LIST]
Certo, sarebbe meglio se fosse obbligatoria. Comunque una volta iscritto a telegram, il codice di verifica per un nuovo dispositivo arriva tramite telegram e non SMS. L'unica necessità via SMS è al momento dell'iscrizione.

Curiosità.. ma lo usi tra tuo telefono e tuo tablet? :D

Già Telegram lo usano in 3 gatti, ma signal ciaoooo
Lo uso sul mio telefono e sul mio desktop.

Confermo che difficilmente ci troverai tanti contatti (io, al tempo, proprio nessuno). Io mi sono costruito una base di utenti suggerendolo nel tempo alle persone con cui chatto di più, con le giuste tempistiche e il giusto atteggiamento.

Il risultato curioso di questo approccio è che, nonostante su Signal abbia numericamente molti meno contatti rispetto a WhatsApp e Telegram, è di fatto il messenger che uso di più (e pure con un certo distacco, per numero di messaggi inviati-ricevuti) proprio per il fatto che i contatti più frequenti li ho lì.

E' palese che non necessariamente servono tanti contatti per utilizzare di più uno o l'altro messenger, ma ne è sufficiente il sotto-insieme più frequente.

Altra cosa curiosa. Sebbene svariati contatti lo utilizzino fondamentalmente solo con me, ho riscontrato (non senza un pizzico di soddisfazione) che alcuni amici comuni che ho portato hanno cominciato poi a scriversi tra di loro su Signal ritrovandosi tra i contatti, senza la mia intercessione. :)

Lo uso sul mio telefono e sul mio desktop.

Confermo che difficilmente ci troverai tanti contatti (io, al tempo, proprio nessuno). Io mi sono costruito una base di utenti suggerendolo nel tempo alle persone con cui chatto di più, con le giuste tempistiche e il giusto atteggiamento.

Il risultato curioso di questo approccio è che, nonostante su Signal abbia numericamente molti meno contatti rispetto a WhatsApp e Telegram, è di fatto il messenger che uso di più (e pure con un certo distacco, per numero di messaggi inviati-ricevuti) proprio per il fatto che i contatti più frequenti li ho lì.

E' palese che non necessariamente servono tanti contatti per utilizzare di più uno o l'altro messenger, ma ne è sufficiente il sotto-insieme più frequente.

Altra cosa curiosa. Sebbene svariati contatti lo utilizzino fondamentalmente solo con me, ho riscontrato (non senza un pizzico di soddisfazione) che alcuni amici comuni che ho portato hanno cominciato poi a scriversi tra di loro su Signal ritrovandosi tra i contatti, senza la mia intercessione. :)

Sei un mago in pratica... riusciresti a vendere anche delle scarpe rotte :O

ormai ci vorrebbe il simpson's-meme con l'immagine di telegram che picchia whatsapp e un ragazzo/spettatore che urla "stop it" it's already dead" :D